CISO(Chief Information Security Officer)

導入

CISO(Chief Information Security Officer)とは、企業・組織内において情報管理およびその運用を担当し、情報セキュリティを統括する担当役員です。


ビジネスでITの重要性が増し、情報セキュリティの事件や事故も多い。そこでサイバーセキュリティや情報のリスクに対応する「最高情報セキュリティ責任者(CISO)」を設置する企業や組織が増えている。日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、2018年5月に、CISOの役割や業務のあり方などを取りまとめた資料「CISOハンドブック」を公開した(関連記事)。


サイバー攻撃は今後も増加傾向にあるといわれ、サイバーセキュリティは経営課題の一つに認識されています。経産省が公開する「サイバーセキュリティ経営ガイドライン」でも、企業や組織のトップに積極的な取り組みが求められています。

そこで経営と現場をつなぐ橋渡し役として期待されているのが「CISO(Chief Information Security Officer:最高情報セキュリティ責任者)」。
今回はCISOはどんな役割があり、どんな能力やスキルが求められるのかを紹介します。










とは

CISO(Chief Information Security Officer最高情報セキュリティ責任者)は、企業・組織内でコンピュータシステムのセキュリティ対策だけでなく、機密情報や個人情報の管理なども含めた情報セキュリティ全般を統括する担当役員のことです。実際の役割や仕事内容としては、セキュリティポリシーの策定、個人情報の扱い運用やその監査、コンピュータのセキュリティ対策、機密管理規程の策定、リスク管理、情報漏洩事故の防止などの統括が挙げられます。

CIOの担当範囲が経営戦略および情報システム中心ということに比べ、コンピュータで管理しない情報についてもセキュリティ面での管理やリスク管理もCISOの担当範囲になります。個人情報保護法が’05年4月から施行され、また個人情報の流出などが社会的な問題となっているため情報セキュリティ管理の責任者という位置づけのCISOの役割も重要で責任も大きくなっています。


CISO(Chief Information Security Officer)は最高情報セキュリティ責任者と訳され、企業における情報セキュリティを統括する責任者を指します。セキュリティ対策には経営層やそれに近い職位の強いリーダーシップが必要であり、その役割を担うのがCISOです。セキュリティレベルの強化においては、情報システム部門やSOCCSIRTなどがセキュリティ対策を行うだけでは不十分であり、実際に業務アプリケーションの利用や各種情報を扱う社内のユーザー部門の協力が欠かせません。こうした部署間をつなぐための役割を担い、セキュリティ対策の取り組みを全社的に広げることがCISOの重要な業務です。従来はCIO(Chief Information Officer)がセキュリティ領域の責任者を担うことが少なくありませんでしたが、セキュリティリスクが高まっていること、セキュリティ対策が経営責任の1つという認識が広まっていることから、CIOとは別にCISOを設置する企業が増えています。


CISOは、企業内で情報セキュリティを統括する経営レベルの最高責任者(担当役員のポジションが多い)であり、サーバやPC、ネットワークなどの情報システム全般のセキュリティ対策はもちろん、機密情報や個人情報などその企業で「重要な情報」と定義された情報を守ることを主な役割としている。また、より対象範囲の広い「最高セキュリティ責任者(CSO=Chief Security Officer)」と称する場合もあるが、各社によって事情が異なるだけで、本質的な存在意義にほとんど違いはない。

 日本では、標的型攻撃などの脅威や本連載で何度か取り上げているサイバーセキュリティ経営ガイドラインなどによって、CISOの必要性や認知度が広まった。CISOは、最高情報責任者(CIO=Chief Information Officer)や情報システム部長、非IT系部門のリスク管理部長や管掌役員などが兼務している場合なども多く、職位や組織内での立場は企業・組織でまちまちだ。しかしながら、情報セキュリティの脅威や課題、現状を経営層に伝えることが最も重要な役割であることに変わりはない。

 情報セキュリティがITシステムの問題として情報システム部門だけで対応していく時代は終わった。セキュリティ対策は、企業や組織全体の課題として認識し対応すべきものになった。加えて、万一のインシデント発生時にCSIRTなどで対応していく機能が、社会的責任を果たす企業として必要不可欠なものとなった。その中心がCISOであり、サイバーの脅威とその対策の最前線である現場と経営層をつなぐ大事なポジションとして注目されてきたのだ。


CISOとは、「Chief Information Security Officer」の略で、「情報セキュリティ最高責任者」「情報セキュリティ統括担当役員」などと訳されます。
サイバーセキュリティが重要な経営課題と位置づけられる中で、企業の情報セキュリティ体制において要求される権限や責任を引き受ける役職と位置づけられます。

上述したとおり、「サイバーセキュリティ経営ガイドライン」でも、企業や組織のトップにサイバーセキュリティの積極的な取り組みとリーダーシップが求められているものの、多忙を極めるトップが、実務に近い領域にまで関わるのは、現実的には難しいことです。
また、全社的にサイバーセキュリティ体制を構築、運用していくためには、IT部門をはじめ、様々な部門の参加が必要となります。

そこで、経営層と現場部門の双方をつなぐ“橋渡し役”が必要であり、その役割を果たすのがCISOです。
組織上、CISOを設置する企業もあれば、CIO(Chief Information Officer:最高情報責任者)が兼務する企業もあります。あるいは、CISOの役割を、情報セキュリティの専任組織の責任者が担うケースもあります。

独立行政法人 情報処理推進機構(IPA)が2018年3月に実施した調査「CISO等セキュリティ推進者の経営・事業に関する役割調査」によれば、専任のCISOを設置している企業は47.9%と約半数でした。
サイバーセキュリティを統括する責任者として、CISOは技術的役割に加え経営・事業的役割を担う必要があるといえます。前出の「CISO等セキュリティ推進者の経営・事業に関する役割調査」によれば、経営層が重要視するCISOの役割は「技術的役割と経営・事業的役割の両方」(43.7%)、次いで「経営・事業的役割」(31.6%)という結果でした。


CISOとは、Chief Information Security Officerの略で、最高情報セキュリティ責任者のことです。
企業において、コンピュータシステム・ネットワークの安全管理はもちろん、コンピュータで管理しない機密情報管理規定の策定や情報漏洩事故の防止等まで、セキュリティに関わる事柄を幅広く統括します。
情報セキュリティ技術の専門家としての働きに留まらず、事業や企業経営の知見を基に、セキュリティに関わるあらゆる要素を企業経営戦略に反映させ、必要な施策の実行を担う等、経営幹部の一員としての活躍も求められます。

ユーザーのWebサイトを乗っ取るランサムウェアや、ソーシャルエンジニアリングを利用したフィッシング等のハッキング、サービス拒否(DoS)攻撃等の脅威にさらされる現在、 各企業は自社のデータや個人情報、機密情報を守るためにサイバーセキュリティへの投資を拡大させています。まだ日本で導入している企業は少ないものの欧米では一般的なポジションであり、今後更に重要視されることが見込まれます。

※近しい役職として、 CIO(Chief Information Officer:最高情報責任者)やCSO(Chief Security Officer:最高セキュリティ責任者)がありますが、CIOはセキュリティに限らない情報システムの企画、導入、運用、更新の全般を担当範囲としており、CSOは情報システム関連だけではない、施設・設備や財産、従業員等を含む全社における保安対策を担当範囲としている、という違いがあります。


CISO(Chief Information Security Officer)は最高情報セキュリティ責任者のことで、組織の情報セキュリティを統括管理する役職です。セキュリティ計画の策定、管理体制の構築、組織に蓄えられた情報を管理して情報資産の運用、また、セキュリティインシデントに向けた緊急対応体制の整備と指揮、そして、サプライチェーン全体の状況把握が主な役割となります。

情報セキュリティがITシステムの問題として情報システム部門だけで対応していく時代は終り、セキュリティ対策は、企業や組織全体の課題として認識し対応すべきものになります。加えて、万一のインシデント発生時にCSIRTなどで対応していく機能が、社会的責任を果たす組織として必要不可決なものとなります。その中心がCISOであり、サイバーの脅威とその対策の最前線である現場と経営層をつなぐ大事な橋渡しが主な役割となります。
また、業務執行においては技術、ガバナンス、リスク管理、そして、事業貢献と広範囲な観点など様々なスキルや経験が求められています。







H2候補

  • CISOは何をすべきか?
  • 経営者がサイバーセキュリティを何でも率いるべき?
  • 経営と技術の視点
  • CISOの役割と必要とされる背景
  • CISOに必要なスキル
  • 牽引役としてのリーダーシップも求められる

まとめ

参考

  • https://www.secomtrust.net/secword/ciso.html#:~:text=CISO%EF%BC%88Chief%20Information%20Security%20Officer%20%E6%9C%80%E9%AB%98%E6%83%85%E5%A0%B1%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%B2%AC%E4%BB%BB%E8%80%85,%E6%8B%85%E5%BD%93%E5%BD%B9%E5%93%A1%E3%81%AE%E3%81%93%E3%81%A8%E3%81%A7%E3%81%99%E3%80%82
  • https://www.ntt.com/bizon/glossary/e-c/ciso.html
  • https://www.jnsa.org/result/2018/act_ciso/data/ciso-handbook_v011b.pdf
  • https://japan.zdnet.com/article/35130613/
  • https://japan.zdnet.com/article/35165198/
  • https://www.lanscope.jp/trend/13185/
  • https://www.elite-network.co.jp/dictionary/ciso.html
  • https://www.fujitsu.com/jp/solutions/business-technology/security/secure/security-consulting/ciso/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です