ゼロトラストに移行するための5つのフェーズにおける、CISOの役割と経営的責任:働き方改革時代の「ゼロトラスト」セキュリティ(23)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストとCISOについて解説する。
相次ぐランサムウェア攻撃による被害やDDoSによるサービスの妨害、執拗(しつよう)な標的型攻撃など、社会におけるデジタルの利活用の場面が増えるとともにサイバーセキュリティの重要性が再認識されています。
従来、事業推進や組織の活動においてコストと考えられてきたサイバーセキュリティは、デジタルの上に積み上げた情報資産や事業環境を守り抜くために必要な投資の一部と考えられるようになりつつあります。
組織の経営に目を向けると、CIO(最高情報責任者)、CTO(最高技術責任者)といった情報システムやテクノロジーを経営に活用するリーダーシップとともに、デジタルの積極的な活用による事業改革を担うCDO(最高デジタル責任者)/CDXO(最高DX《デジタルトランスフォーメーション》責任者)、情報漏えい対策やセキュリティ対策の司令塔となるCSO(最高セキュリティ責任者)/CISO(最高情報セキュリティ責任者)といった経営責任領域が生まれています。
特にCSO/CISOの意思決定が及ぶ領域では、テレワークやクラウドの活用といったデジタルワークプレースの急激な変革とともに激化するサイバー攻撃への対応が求められる状況となり、急速に重要度が増しています。
多くの企業が採用を進めるゼロトラストは、急速に変化した環境の中で質的変化が起こったサイバー脅威の環境に対し、アイデンティティーの集約と認証、認可の徹底によってデータとデジタル環境の安全を維持する仕組みとして注目されており、これらの導入決定や推進にもCSO/CISOの経験や判断が欠かせません。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。今回から、ゼロトラストの長い航海を成功に導くクルーともいえる人材やチームについて考えます。今回は、ゼロトラストへ移行するためのステップごとに求められる人材の中で、CISOと経営的責任について考えます。
ゼロトラストに移行する5つのフェーズ
2022年7月にIPA(情報処理推進機構)が公開したレポート「ゼロトラスト移行のすゝめ」では、企業や組織がゼロトラストに移行するための5つのフェーズを紹介しています。
ゼロトラストの導入ステップについてはさまざまなホワイトペーパーやドキュメントで議論されていますが、IPAの示すフェーズでは、ゼロトラストの考え方を企業や組織のセキュリティに適用するために行うべき活動が端的に整理されています。
この導入ステップでは、現在採用されているセキュリティの考え方から組織のセキュリティをゼロトラストにシフトするために、現状の分析とありたい姿の検討から始まり、計画の作成、投資判断、環境構築と検証改善の繰り返しへと進んでいきます。
この導入ステップをモデルとして、ゼロトラストを導入する際にどのような人材が必要となるのかを考えてみます。
経営責任としてのサイバーセキュリティとCISO
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- サイバー攻撃を懸念する声の多かったオリパラが無事に閉幕した理由
「CISOは事業部門と共通の目標を持つこと」は教科書的な言葉で聞く方も「また抽象的な話か……」と飽き飽きするだろう。だが、東京オリンピック・パラリンピック2020では「事業部門と共通の目標を持つ」ことに成功し、さらにその目標を無事に達成した。その要因は何だったのだろうか。 - 2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド
CISO(最高情報セキュリティ責任者)は最新トレンドを理解し、強力なセキュリティ対策を計画、実行すべきだ。2020年は、新型コロナウイルス感染症への対応もセキュリティチームにとって大きな課題となっている。 - Cloud Security Alliance、ソフトフェア定義型境界とゼロトラストに関するホワイトペーパーを発表
Cloud Security Alliance(CSA)は、ホワイトペーパー「Software Defined Perimeter(SDP)and Zero Trust」(ソフトフェア定義型境界とゼロトラスト)を発表した。