被害を最小化するレジリエントセキュリティ

CISO任命だけではすまない--侵入被害を受ける前提で求められる組織のあり方 - (page 4)

星澤裕二

2016-03-03 07:00

 一方で、グローバル情報セキュリティ調査2016によると、CISOは国内でも設置の動きが加速し、設置率が40%(2014年)から54%(2015年)とグローバル同等レベルまで引き上げられている。しかし、多くの組織においてCISOが設置されるようになった状況下でも、依然として課題が残っている現状が垣間見える。


Q:情報セキュリティの統括責任者(CISOなど)のレポートライン

 実は、CEOがCISOのレポートラインとして定義されているのはグローバルのわずか3分の2にしか過ぎないのである。つまり、インシデントが発生しても直接経営層に報告、相談を実施できないジレンマにおちいっているのだ。また、CISOに要求される要件と実際の要件にもギャップが存在している。

 セキュリティだけではなくビジネス全般を理解しているのはグローバルの半数程度、経営層にリスクや戦略を直接伝えるスキルはグローバルの半数にも満たない状況である。組織体制面のみならず、スキル面の問題まで抱えていることが明らかになった。

 つまり、単にCISOを任命すれば良いというわけではなく、内部育成や外部活用も考慮し経営層の一員である真のCISOを確保しサイバーセキュリティ対策を推進していく必要があるのだ。


情報セキュリティの統括責任者(CISO等)に求められる役割やスキルに合致しているもの (複数回答)

レジリエントセキュリティの実現

 サイバーセキュリティが経営課題となる中、経営層主導により、従来導入が進められてきた防御主体のサイバーセキュリティ対策から脱却し、攻撃を受けることを前提として迅速に対応する“レジリエントセキュリティ”の実現が重要である。

 そのためにも、真のCISO任命による組織体制の整備や、情報共有や外部ソースからのスレットインインテリジェンス活用により、防御だけではなく抑止、検知、回復といったセキュリティ態勢の構築を早急に推進することが必要である。


星澤裕二
PwCサイバーサービス合同会社 スレットインテリジェンスセンター/最高執行責任者。1998年に大手米国IT企業に入社以来、同社のインターネットセキュリティ研究所のマネージャーとして、セキュリティの研究や新種マルウェアへの対応、脆弱性情報の収集・分析などを担当し、国内のマルウェア研究における地位を確立。2004年10月、サイバーセキュリティ専門企業の設立に参画。最高技術責任者として設立当初よりコア技術開発に従事。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    Microsoft Copilot for Security--DXをまい進する三井物産が選んだ理由

  5. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]