Written by 阿部 欽一
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。
関連資料「情報セキュリティのあり方」や「CISOの役割」について語ったレポート
「企業における情報セキュリティのあり方、CISOの役割について」
サイバー攻撃は今後も増加傾向にあるといわれ、サイバーセキュリティは経営課題の一つに認識されています。経産省が公開する「サイバーセキュリティ経営ガイドライン」でも、企業や組織のトップに積極的な取り組みが求められています。
そこで経営と現場をつなぐ橋渡し役として期待されているのが「CISO(Chief Information Security Officer:最高情報セキュリティ責任者)」。
今回はCISOはどんな役割があり、どんな能力やスキルが求められるのかを紹介します。
CISOとは
CISOとは、「Chief Information Security Officer」の略で、「情報セキュリティ最高責任者」「情報セキュリティ統括担当役員」などと訳されます。
サイバーセキュリティが重要な経営課題と位置づけられる中で、企業の情報セキュリティ体制において要求される権限や責任を引き受ける役職と位置づけられます。
上述したとおり、「サイバーセキュリティ経営ガイドライン」でも、企業や組織のトップにサイバーセキュリティの積極的な取り組みとリーダーシップが求められているものの、多忙を極めるトップが、実務に近い領域にまで関わるのは、現実的には難しいことです。
また、全社的にサイバーセキュリティ体制を構築、運用していくためには、IT部門をはじめ、様々な部門の参加が必要となります。
そこで、経営層と現場部門の双方をつなぐ“橋渡し役”が必要であり、その役割を果たすのがCISOです。
組織上、CISOを設置する企業もあれば、CIO(Chief Information Officer:最高情報責任者)が兼務する企業もあります。あるいは、CISOの役割を、情報セキュリティの専任組織の責任者が担うケースもあります。
独立行政法人 情報処理推進機構(IPA)が2018年3月に実施した調査「CISO等セキュリティ推進者の経営・事業に関する役割調査」によれば、専任のCISOを設置している企業は47.9%と約半数でした。
サイバーセキュリティを統括する責任者として、CISOは技術的役割に加え経営・事業的役割を担う必要があるといえます。前出の「CISO等セキュリティ推進者の経営・事業に関する役割調査」によれば、経営層が重要視するCISOの役割は「技術的役割と経営・事業的役割の両方」(43.7%)、次いで「経営・事業的役割」(31.6%)という結果でした。
CISOの役割と必要とされる背景
CISOが必要とされる背景は、サイバー攻撃による脅威の高まりです。
JPCERTコーディネーションセンター(JPCERT/CC)に寄せられたインシデント(情報システムのセキュリティ上の問題)の報告件数は、2018年の1年間で15,751件(注:「JPCERT/CC インシデント報告対応レポート」より筆者が手元集計)。ここ数年は年間20,000件前後で推移しており、グローバル規模でビジネスがデジタル化していく中で、この数字は今後も増加していくものと思われます。
CISOは、情報セキュリティ全般の責任者ですが、サイバー攻撃に関する脅威の高まりとともに、その役割に対する重要性は高まるばかりです。一般的な役割としては、サイバーセキュリティ戦略の立案や、セキュリティ対策に関する投資の進言、セキュリティポリシーの策定や対策の推進、セキュリティ運用のPDCAサイクルの管理などが挙げられます。
これを分類すると、事業戦略との整合性やセキュリティ投資を担う「事業貢献」の領域や、ガバナンス体制の構築、運営やステークホルダーとの連携、情報共有などを担う「コーポレートガバナンス」領域、リスク管理や監督、リスク分析や優先順位付けなどを担う「リスク管理」領域、そして、セキュリティルールの策定やソリューションの実装、インシデント対応などを担う「セキュリティ対策」領域などに大別されます。
なかでも、CISOに期待されている大きな役割がリスク管理。
CISOは、脅威や脆弱性、被害の要素が組織に対するリスクか、顧客に対するものか、あるいは社会に及ぼす影響かを正しく評価することが求められます。というのも、企業がサイバーセキュリティに適切な投資を行うためには、適切なリスク評価と対策の優先順位付けがなされなければならないからです。
また、サイバーセキュリティに関するマネジメントや投資は、企業全体のリスク管理の一部として、整合性が保たれる必要があるからです。
ITを活用したビジネスを安心して行うには、サイバーセキュリティ対策は不可欠。その意味で、CISOはビジネスに関してますます大きな役割を担うようになるでしょう。
CISOに必要なスキル
セキュリティ技術の専門家として、CISOが経営層の意思決定に対してセキュリティの面から助言する役割を求められていることは先述したとおりです。そして、CISOが直面する課題には「外部の課題」「内部の課題」の2種類があります。
「外部の課題」は、サイバー攻撃によるインシデントをはじめとする課題。そして、「内部の課題」は、適切な意思決定と適切な予算立てを行い、IT部門にやるべき施策を指示して技術的な脆弱性に対応することなどです。こうした課題に対応するために、CISOには技術領域とビジネス領域の双方のスキルを備えていることが求められます。
ビジネス領域については、たとえば、経営層と実務の双方に対する幅広い洞察を持っていることです。そして、経営陣への説明やコンセンサスを得るための内部調整力などもビジネスセンスに含まれます。技術領域については、ITやテクノロジーについての幅広い技術や知識を備えていることです。
これらに加えて、情報リスクとセキュリティに対する深い知識を持っていることが求められるのです。前出の「CISO等セキュリティ推進者の経営・事業に関する役割調査」によれば、CISOにとって重要なスキルや経験について「(セキュリティを含む)ITスキル」(51.0%)、次いで「(経営層や現場、ステークホルダーに対する)コミュニケーションスキル」(38.0%)という結果でした。
牽引役としてのリーダーシップも求められる
CISOはまた、全社的なビジネス視点を持ち、リーダーシップを発揮することが求められます。
セキュリティは様々なビジネスリスクの中の一つ。プライバシーやグローバルでの法令順守、規制への対応、あるいは事業継続性と災害復旧の推進、製品やサービスのセキュリティも網羅しながら、サイバーセキュリティを経営全体の視点からとらえていく必要があります。
そして、リーダーとして人を啓発し、ポジティブな結果を奨励する、変化を新しい方向に推し進め、組織を良い形に変貌させていくリーダシップを発揮していく必要があるのです。
まとめ
ここまで、経営層との橋渡し役を果たすCISOの重要性や、求められる役割、スキルを紹介しました。企業にとってCISOの重要性は高まっていますが、一方で、セキュリティ人材は不足しており、CISO人材の確保も困難になっているのが現状です。
こうした状況を受け、独立行政法人 情報処理推進機構(IPA)は、前出の「CISO等セキュリティ推進者の経営・事業に関する役割調査」の中で、以下のような施策の実施を提言しています。
- (1)経営層がCISOに必要な権限と責任を明確にし、与えるよう、啓発普及すること
- (2)CISOが担うべき経営、事業に関する役割について参考情報を提供すること
- (3)CISOに適した人材の養成、演習などの教育プログラムを整備すること
- (4)セキュリティに係る人材が経営や事業に関する役割を担うCISOをめざすモチベーションを持てるようなキャリアパスなどを整備すること
サイバー攻撃の脅威が増し、個人情報をはじめとする機密情報の流出などが社会的な問題となっている今、企業におけるCISOの重要性はますます大きくなっていくでしょう。
