一方で、グローバル情報セキュリティ調査2016によると、CISOは国内でも設置の動きが加速し、設置率が40%(2014年)から54%(2015年)とグローバル同等レベルまで引き上げられている。しかし、多くの組織においてCISOが設置されるようになった状況下でも、依然として課題が残っている現状が垣間見える。
Q:情報セキュリティの統括責任者(CISOなど)のレポートライン
実は、CEOがCISOのレポートラインとして定義されているのはグローバルのわずか3分の2にしか過ぎないのである。つまり、インシデントが発生しても直接経営層に報告、相談を実施できないジレンマにおちいっているのだ。また、CISOに要求される要件と実際の要件にもギャップが存在している。
セキュリティだけではなくビジネス全般を理解しているのはグローバルの半数程度、経営層にリスクや戦略を直接伝えるスキルはグローバルの半数にも満たない状況である。組織体制面のみならず、スキル面の問題まで抱えていることが明らかになった。
つまり、単にCISOを任命すれば良いというわけではなく、内部育成や外部活用も考慮し経営層の一員である真のCISOを確保しサイバーセキュリティ対策を推進していく必要があるのだ。
情報セキュリティの統括責任者(CISO等)に求められる役割やスキルに合致しているもの (複数回答)
レジリエントセキュリティの実現
サイバーセキュリティが経営課題となる中、経営層主導により、従来導入が進められてきた防御主体のサイバーセキュリティ対策から脱却し、攻撃を受けることを前提として迅速に対応する“レジリエントセキュリティ”の実現が重要である。
そのためにも、真のCISO任命による組織体制の整備や、情報共有や外部ソースからのスレットインインテリジェンス活用により、防御だけではなく抑止、検知、回復といったセキュリティ態勢の構築を早急に推進することが必要である。
- 星澤裕二
- PwCサイバーサービス合同会社 スレットインテリジェンスセンター/最高執行責任者。1998年に大手米国IT企業に入社以来、同社のインターネットセキュリティ研究所のマネージャーとして、セキュリティの研究や新種マルウェアへの対応、脆弱性情報の収集・分析などを担当し、国内のマルウェア研究における地位を確立。2004年10月、サイバーセキュリティ専門企業の設立に参画。最高技術責任者として設立当初よりコア技術開発に従事。