IT化が進んだ現在の企業経営において、セキュリティ対策は必須の課題となっています。会社の規模や業界によらず、あらゆる企業でインシデントの可能性があります。そこで、日頃のセキュリティ対策や、事故発生時の対応を取りまとめる CISO の必要性も高まっています。今回はあらためて CISO( Chief Information Security Officer )という役割について、ご紹介していきます。
「 CISO 」 というポジションが生まれた背景
CEO? CIO? COO? CFO? CISO?
その昔、日本では企業の代表の肩書きと言えば、「 社長 」でした。
ただ「 社長 」には法的な規定がなく、実際の会社の代表者は「 代表取締役 」であり、両者を兼任している人を「 代表取締役社長 」と言っていました。
しかし、これは日本独自のルールであり、日本語の社長を英訳した「プレジデント ( PRESIDENT ) 」は逆にアメリカではどういう位置づけかわかりにくいため、 日本の企業が外国企業と協業したり、提携したり、 M&A が盛んになってくる中で、日本でもアメリカ風の役職名が使われるようになりました。
それが「 CEO ( Chief Executive Officer ) = 最高経営責任者 」です。
ただ、CEOも当然日本の法律上に規定されていませんので、日本語でも英語でもどちらでも唯一会社の代表という意味を持たせるために 「 代表取締役兼CEO 」という肩書きが登場し、使われてきました。
余談ですが、この「 Chief=チーフ 」と言う言葉、日本では中間管理職の肩書きによく使われていて「 チーフ○○ 」さんが同じ部署・事業部に複数いることが多いため、誤解されがちですが、 英語の辞書では「 highest 」と表現されているので、本当の意味でその分野の「 唯一無二の最高 」を意味する言葉です。
で、こういった英語由来の肩書きが増えてきた中で、日本に入ってきた肩書きの中に「 CIO 」と「 CISO 」があります。
- CIO:Chief Information Officer = 情報システム関連の最高責任者
- CISO:Chief Information Security Officer = 最高情報セキュリティ責任者
となります。
一目瞭然ですが、両者の違いは「 Security 」がついているかいないかです。
企業のIT化が進んでITとビジネスが密接に結びつく中で、ITは経営課題解決の重要なツールになりました。そこで、経営とITとの両方が理解出来るポジションとしての役職が CIO で、以前は CIO が情報セキュリティも管轄することがよくありました。
ですが、ITと情報セキュリティの両者の拡大化に伴い、もはやITとセキュリティを単独の人材がカバーするのは非常に難しくなってきました。また、企業経営における情報セキュリティの重要度が増してきたこともあり、単独のポジションとして存在することも増えてきました。
「 CISO 」って、なにをするの?
では、CISOとはどういう仕事をする人なのでしょう?
情報セキュリティ担当チームを管理監督
まず、第1に、内部外部を問わず、自組織の情報セキュリティ担当チームを管理監督します。
内部というのは、言わずもがな、自組織のセキュリティ担当の要員であり、 外部とは自組織のセキュリティ管理を外部に委託している委託先のことになります。
これらの活動状況、委託状況を管理監督し、 それらに適切な指示を出し、それらから得られた情報を整理することがまず最初になります。
セキュリティ状況の監視・管理
次に、自組織のセキュリティ状況の監視・管理をします。
今世の中には莫大な量の情報セキュリティに関する情報が溢れています。 しかし、それらが全て自組織に影響を与えるわけではないため、 自社に影響がある情報を抽出して、その影響を把握し、対処法を決定します。
また、社内で行われているプロセスにも目を配り、それがセキュリティ上の問題を孕んでいないかにも注意を払い、 問題があれば、その根本原因を究明し、改善策をビジネスのオーナーと協議して決定し、リリースします。
インシデントへの対応方針の確立
第3に、今起きている、あるいはまだ起きていない情報セキュリティインシデントへの対応方針を確立します。
情報セキュリティインシデントとは、 簡単に言うと、自組織のデータについて所有者が望まない事態が発生すること全般を指します。
望まない事態とは、
- 見られたくないデータを見られる
- 権限の無い人にデータを書き換えられる
- データを紛失する
- データが盗まれる
- 利用したいときにシステムが使えない(使えなくされる)
などいずれも、組織として起こっては困る事態です。
もちろん、これらが起きないように対策をすることは極めて重要ですが、だからといって全てのインシデントを未然に防げるわけではありません。
そこで、万一のインシデントの発生時に、可能な限り被害を小さくし、組織への影響を最小化することが必要になります。 これを、我々の普段の生活に置き換えると、『普段から健康には気を遣うけれど、 万一病気になった場合に備えて、飲む薬を常備し、どこに病院があって、その連絡先はどこなのかを確認しておく』という事に似ています。
CISOは、
- 自分の組織に何が起きては困るのか
- その影響範囲はどこまでなのか
- 万一起きた場合にはどうするのか
を整理し、その対処法も確立します。
現場と経営陣との橋渡し
そして、最後に、これが最も重要なのですが 、今まで挙げてきた項目について、経営陣に理解出来る言語で伝え、理解を得、有効な支援を取り付けることです。
理解出来る言語ってなんでしょう?
多国籍企業で、経営陣と CISO の使う言葉が違う?
いえ、そうではありません。
情報セキュリティの世界に限らず、ITの世界で使われる言葉には専門用語が多く、これらの大半はビジネスの専門家である経営陣には馴染みが薄く、意味不明なものが多いです。
たとえば、 エンジニアに「このアプリケーションの脆弱性は、 CVSS のスコアが9.8で、すでに PoC が公開されていて、悪用されると権限昇格が起きて~」 などと言われても、経営陣には、具体的に何がどう危険で、それが経営にどういう影響があるのかわかりません。
そこで登場するのが CISO です。 CISO はセキュリティエンジニアから報告を受け、それが自組織にどういう影響を与えるのかを整理し、
「会計システムで使われているアプリケーションに弱点が発見されました。その弱点を悪用されると、 最悪の場合、サーバーを乗っ取られて、会計データを改ざんされたり、削除されたりして、決算が出来なくなり、復旧作業に莫大なコストが必要になります」
と経営陣に理解出来る言語に変換して伝えます。
そして、経営陣から、その対策に取りかかる許可を受け、そのために発生する支援(具体的には人とお金を使う許可)を取り付けます。 このように、企業における情報セキュリティと経営との橋渡しをして、企業活動の情報セキュリティ運営をスムーズにするのが CISO の役割です。
「 CISO 」は雇った方がいい?
このように組織の運営におけるITの影響が大きければ大きいほど、 CISO の重要性は増してくるばかりです。
では、必ずしも全ての企業が CISO を雇えばいいのか、というとそこにはいくつかの問題があります。
まず、一つめは人材不足です。
現在の日本では様々な業界で人材不足が言われています。情報セキュリティの分野も例外では無く、特に先に書いたようなビジネスとセキュリティを橋渡しできる人材はさらに不足しており、組織がそういった人材を雇用したいと思っても、そう簡単には見つかりません。
次に、大きいのはコストの問題です。
一つめで触れたように、それだけ不足している人材ですから、他社より低い条件(給与だけではなく、雇用環境、福利厚生etc)では 人を呼び込むことが出来ません。 人件費を扱ったことのある方ならわかると思いますが、年収800万の人を雇用するのに、年間800万では済みません。 それだけの人件費を「よし、じゃあすぐに雇おう」とはなかなか決断できない企業も多いと思います。
では、大企業以外に CISO を有する機会はなく、常に情報セキュリティ上の脅威の不透明さに怯えないといけないのでしょうか?
そんな事はありません!
ヴァーチャル「 CISO 」
今、世界の情報セキュリティの世界では、そのような組織の方にも CISO の役割を提供できるようなサービスが登場しています。それが ヴァーチャルCISO です。
ヴァーチャル(仮想の)「 CISO 」ってなに?
ヴァーチャルCISO 自体は、一般的な呼び名なので、提供する企業によって名前は異なりますが、 それは、企業のサービスとして、 CISO の役割を提供するものです。フルタイムの専任の人員を雇用するのではなく、組織が必要となったときにだけ、 CISO の役割をになってもらうのです。
たとえば、企業が専任の警備員を常駐させていれば、それなりの費用がかかりますが、 何かあったとき(警報がなったとき、あるいは要請をかけたとき)にだけ駆けつけてくる警備員のサービスがあり、比較的廉価に導入出来ます。それと似たようなものです。
サービスを提供する企業では、CISO の役割をする人を何人か常駐させており、 利用する側は、必要な時にだけその企業に連絡をとって対応してもらう。 専任の CISO を雇用するよりも安く済みますし、人材を探す手間も省けます。 何より、サービスなので、自社にとって合わないものなら、別の会社に乗り換えることも可能なのです。
企業を経営されている方なら、このメリットはご理解いただけるものだと思います。
- 情報セキュリティが重要なのは重々承知しているけれど、どうすればいいのかわからない。
- 専門の人が要るのはわかったけど、他社の募集条件を見るととても自社では無理。
そういった企業の方も、ヴァーチャルCISO の導入を検討してみてはいかがでしょうか?
KDLのアドバイザリーサービスがおすすめ
ヴァーチャルCISO ですが、具体的にどのようなサービスとして提供されているでしょうか。
たとえば弊社の場合は、アドバイザリーサービスにてご提供しています。
本サービスは、毎月の上限相談時間毎の定額サービスとなっていて、ご利用範囲にあわせてコンサルタントと契約することができます。必要な時に連絡をとっていただき、専用のサポートサイトよりご質問内容を連絡いただきます。ご質問に対し、経験豊富なセキュリティコンサルタントが回答させていただき、課題の早期解決をご支援します。月額5万円からのプランとお手軽なプランからご用意があります。先ほどご紹介した、必要な時にだけ利用できる理想的なサービスの一つと言えるのではないでしょうか。
なお、本サービスは一問一答で回答できるような内容に限らせていただいておりますが、もしその範囲での対応が難しい場合は、別のご契約をご案内させていただきます。
セキュリティに関するちょっとしたお悩みごとはございませんか?
無料相談も承りますので、ぜひお気軽にお問い合わせください。
