進化を続ける破壊的なサイバー攻撃の脅威に常に備えなければならない中、最高情報セキュリティ責任者(CISO)になるのは容易なことではない。
CISOは、組織のサイバーセキュリティに関する問題を司るチームを統率することが期待されているとともに、コンプライアンス、規制、法律に関する問題や、業務プロセスやパッチの管理などを扱う戦略を策定し、その戦略を実行する必要がある。
さらに企業のCISOには、進化する脅威に関する状況について十分な知識を備えていることが期待され、インシデント対応でも重要な役割を果たすことが求められるかもしれない。CISOが、最高情報責任者(CIO)と協力しながらデータのコンプライアンス管理に従事する場合もある。
その上、One Source CommunicationsのCISOを務めるSteve Cobb氏によれば、今のCISOは数字に強い必要もあるという。これは、最近では予算が重要な問題になっているためだ。
Cobb氏は、Mandiantが開催した「Cyber Defense Summit 2021」で講演を行い、CISOが成功するためには、社外から採用されたか、組織の生え抜きかに関わらず、多くの課題について検討し、取り組む必要があると語った。
同氏によれば、CISOやセキュリティ責任者に新たに就任した人は、まず以下のような作業に取り組む必要があるという。
既存のすべてのポリシーを見直す。Cobb氏は、新任のセキュリティ責任者が最初に行うべきことは、ITやセキュリティに関する既存のポリシーを見直すことだと述べている。特に、いざというときの事業継続計画や復旧計画に加え、(存在していれば)インシデント対応計画には注意を払うべきだという。
もしこれらの計画がまだなければ、それは新任の担当者が「組織に大きな影響を与えられるチャンスだ」とCobb氏は述べている。
過去3回のセキュリティ評価の結果を確認する。これらの評価には、ペネトレーションテストや、レッドチームの関与や、脆弱性スキャンの記録が含まれる。
Cobb氏はまた、新任のセキュリティ担当者に、セキュリティ意識に関するトレーニングや、フィッシング対応シミュレーションについても調査し、これらのトレーニングがスタッフにとって実践的で価値のあるものになっているかどうかを検討するよう勧めている。
サイバー保険契約を見直す。新任のCISOは、サイバー保険、法務部門の意見反映、インシデント対応チームとのつながりなどを含む既存の契約を評価すべきであり、同時に誰が企業の広報を担当しているかも確認すべきだ。
また、サイバー保険にどんな内容が盛り込まれているかも調べなければならない。例えば、ランサムウェアへの感染やデータの盗難、恐喝などをカバーしているか、カバーしている場合、保険金額はどの程度かといったことを押さえておく必要がある。
さらに、サイバーセキュリティインシデントによって訴訟に巻き込まれた場合の賠償金がカバーされているか、また、自分のチームにも同じ条件が適用されるかどうかについても確認すべきだ。
