特集

CISOがいないなら作ればいいじゃない

▼最高情報セキュリティ責任者(CISO)を未設置の企業は半数以上
NRIセキュアテクノロジーズ株式会社(以下、「NRIセキュア社」)が「企業における情報セキュリティ実態調査2015」を発表しました。
http://www.nri-secure.co.jp/whats_new/2016/0216.html

NRIセキュア社は、3000社を対象としたアンケートデータを分析した結果、以下の4点に注目しています。

  • 最高情報セキュリティ責任者(CISO)を未設置の企業は半数以上
  • セキュリティ人材は3年連続して8割の企業で不足
  • 重視するセキュリティ対策は「従業員のセキュリティ教育」や「標的型攻撃への対策」
  • 2割近くの企業がサイバー保険に加入済みまたは加入意向あり

 

▼CISOの理想像
今回は、この4点の中から、特に1点目の「CISO」にスポットを当ててみます。NRIセキュア社は以下のように解説しています。

増加傾向にあるサイバー攻撃は、巧妙化・多様化の一途をたどり、攻撃を受けることは企業活動への影響も大きく、経営に直結する問題と言えます。
一方、情報セキュリティ対策を経営目線で戦略的に考える役割であるCISOは、半数以上(53.4%)の企業で設置されておらず、横断的な戦略策定や有事の際の迅速な対応への懸念が残ります。CISOを設置することで、指揮命令系統が明確な組織の構築が期待できます。また、企業における情報セキュリティの課題を横断的に把握し、戦略的な対策の実装、実施のための管理体制の整備につながると考えます。

CISOは「Chief Information Security Officer」の頭文字を取ったものとされていて、最高情報セキュリティ責任者などと一般的に訳されています。CISOのあるべき姿について、S&J株式会社の代表取締役社長三輪信雄氏が次のように語ったという記事があります。

「継続性を意識し、単純な費用対効果で考えず、業務・物理・システムにまたがる知識と人脈があり、情報セキュリティに対する知見と先見性があり、経営トップにアドバイスできて、正義感と経営感覚をあわせ持つ」
「CIO、CSO、CISOに縛られず日本ならではの責任者を」ラック三輪社長(2006年01月31日)
http://internet.watch.impress.co.jp/cda/event/2006/01/31/10703.html

CISOは、高度かつ複合的な能力が求められ、その役割を果たせる人材は非常に稀少なようです。

 

▼1400人のCISO
NRIセキュア社の調査は、東証一部・二部上場企業を中心に行われたものですから、日本の企業全体ではCISO設置企業の割合はさらに低いでしょう。逆に、求められる役割のレベルの高さを考えますと、半数近くの企業でCISOが設置されていることの方が驚きかもしれません。CISOを設置しているのが3000社の内46.6%ですから、約1400人のCISOがいる計算です。1400人の中で、先述の三輪氏が述べたような能力を備えるCISOははたして何人いるでしょうか。

また、2011年に株式会社シマンテックが行った調査では、日本では、「情報漏洩が起こった際にCISOが指揮した割合が20%」と、他国と比べて低かったという結果が出ています。
http://www.njp.co.jp/news/12_8_6_9.html

20%という数字は、CISOを設置している企業の割合が低いか、またはCISOがその役割を果たせていないか、あるいはその両方であることを示しています。もちろんこのシマンテック社の調査は、先のNRIセキュア社の調査とは調査対象や手法、時期が異なっていますから、単純に結びつけることはできませんが、CISOを設置しても、CISOが理想的な役割を果たすことが容易でないことは想像に難くありません。

 

▼CISOを中心とする情報セキュリティ対応体制
トヨタ自動車やソニー、三菱東京UFJ銀行ら43社が参加する「産業横断サイバーセキュリティ人材育成検討会」が中間報告書第 1.0 版を公開しています。この報告書に、CISOに関する以下の記述があります。

・マネージメント層の専門性(CISO/CSO 等の特性)
2015 年から、サイバーセキュリティは経営問題であるとの認識が高まり、CISOあるいは CSO の設置が必要であることが「サイバーセキュリティ経営ガイドライン」などで政府からも提言されている。
CISO/CSO あるいは、CEO 自らがサイバーセキュリティへの対応を意識してリードすることが必要であることは、検討会の議論でも異論がない。欧米では、役員レベルでも人材の流動性が高く、CISO/CSOに就く人材も、専門性を持った人が企業を渡り歩く例が多く見受けられる。日本では、人材の流動性はあまり高くないため、CISO/CSO に任命された役員にセキュリティの専門性を求めることが難しい場合が多いことが予想される。そのため、日本的な CISO/CSO を想定したサイバーセキュリティ対応体制を考える必要がある。これは、企業経営の欧米との習慣・文化の相違であり、良い・悪いの問題ではなく、日本型のあり方を検討すべきということである。

「CISO/CSO に任命された役員にセキュリティの専門性を求めることが難しい場合が多い」とは、何とも残念な事態ですが、残念がっていても仕方ありません。

理想的なCISOのスキルを持つ人材の採用が困難であるならば、社内で専門性を高めるトレーニングを行う、CISOの下に専門性を補う人材を置いて活用するなどの取り組みが有効ではないでしょうか。
そういった体制強化が「日本的なあり方」の一例であると考えられます。三輪氏は次のようにも述べています。

「CISOにふさわしいのは、情報システム部門において基幹システム開発の経験が長く、会社の業務や文化を良く理解しており、経営者や各部門の責任者と円滑なコミュニケーションができる人だ。外部から来た文化も人脈もないセキュリティ専門家が組織を変えるのは困難。企業の内部から登用すべきだ」
CISOを探せ!──セキュリティと経営を理解できる人材がサイバー攻撃から企業を救う(2015年07月31日)
http://mag.executive.itmedia.co.jp/executive/articles/1507/31/news037.html

 

情報セキュリティの脅威への関心が高まる中、CISOの設置は増えていく傾向にあり、今後は名目上のCISO設置有無だけでなく、その活動内容がますます重視されるようになります。一人の理想的なCISO像を求めるだけではなく、会社全体で機能するような地に足のついたセキュリティ対応体制がCISOを中心に構築されているか、という観点から世のCISO達に注目していきたいと思います。