CISOは全力で組織のセキュリティを守らなくてはならず、その戦略の成功の度合いを評価できるような目標とマイルストーンを設定する必要がある。Lightman氏は、CISOの日常的な役割には次のようなものが含まれると述べている。
- 企業のデジタル資産の保護
- 従業員の教育や訓練、そしてセキュリティに関するベストプラクティスや手順に関するエコシステムの拡大
- アクセス許可の定義と監視
- セキュリティ専門家の雇用と訓練
- セキュリティ機器やトレーニングのための予算策定
- セキュリティ手順のコンプライアンス遵守を進めるためのほかの役員との連携
もちろん、これがすべてではない。CISOの役割は、その業界やその会社の従業員のニーズによって変わってくる。
注目を集めるCISO
では、なぜ今CISOが注目を集めているのだろうか。そもそも、セキュリティはもはや単なる技術的な問題ではなく、IT部門だけの問題でもなくなっている。
「このため、経営層の間には、情報セキュリティは深刻なリスクであり、リスクはより広範なソリューションを必要とするビジネス上の課題だという認識が広がっている」とTooley氏は言う。
もう1つの大きな問題は、これまで以上に職場で技術の重要性が増していることだ。職場には次々に新たな手段が導入され、それによって新たな変化が起こっている。DevOps、クラウド、IoT、BYOD、ビッグデータといった技術が導入されれば、攻撃のリスクも多様化し、専門家の必要性も増していく。
「その結果、事業の継続性と業務遂行力や改善プロセスの競争上の優位性を確保する上で、業界のガイダンス、規制に対するコンプライアンス遵守、セキュリティが主要な要素であるという認識が重要になっており、企業のITシステムと情報資産の安全性、セキュリティ、コンプライアンスを実現するため、最高水準の人材が必要とされている」(Hay氏)
3つの要点
- CISOは、戦略的ビジョンと技術的な専門性を併せ持ち、組織のセキュリティ戦略を立案して実行する。
- CISOはリスクの特定、分析、説明を行う責任を負っている。潜在的な脅威を緩和するソリューションについて理解してもらうための、コミュニケーションスキルが必要とされる。
- ビジネスで利用されるテクノロジがますます広がっているため、CISOの役割自体が大きくなっている。CISOはセキュリティリスクがITの運用に与える影響だけでなく、組織の業績に与える影響も理解している必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。