編集部からのお知らせ
EDRの記事まとめダウンロードはこちら
電子契約の記事まとめDLはこちら

攻撃者優位時代のセキュリティ--CISOの役割を明確にする - (page 2)

吉澤亨史 山田竜司 (編集部)

2017-08-21 07:00

ーーリスクは事業活動から生まれ、当然その事業の性質によって対応が変わると。

 はい。事業活動によって生まれるリスクを低減するためのコストは、その事業で負担します。当然ですが、事業に要するコストと利益の管理はその事業部門の責任です。

 セキュリティのコストとは、ある意味、インシデントで生じる特別損失や、その後の風評による収益の減少といった予期せぬ事態の影響を、定常な販売管理費(販管費)に落とし込むという性質を持ちます。

 営利を追求する企業は、利益を出さなければなりませんので、業務を執行する事業部門はできるだけ「不要な」コストを削減したいと考えます。彼らの観点では「突発的なインシデントなど発生しないだろう」と考え、販管費としてのセキュリティ対策を積極的に推進したがらないのは、無理もありません。

 ところが、いざインシデントによってコストが発生すると、その発生原因となった事業部門ではなく、全社で負担することもあり得ます。全社的あるいは利害関係者の観点では、セキュリティ対策を積極的に推進したがらないという事業部の考えでは、困ります。

 仮に同じ金額でも、適切なセキュリティ対策を講じることで発生する「販管費」と、インシデントの発生に起因する「特別損失」では、企業価値に与える影響も性質も違い過ぎます。

ーー確かに、同じセキュリティの費用といっても「販管費」と「特別損失」は全く印象が違います。

 特別損失は、超過収益力(「ブランド」や「信用」といった目に見えない潜在的な企業価値)も含めて、企業価値が大きく損なわれます。

 そこで、業務執行部門をけん制して、「リスクを経営者が求める許容可能な水準まで低減するようにセキュリティ対策が適切に講じられているか」「それに見合うだけの適切なコストを支出しているのか」を、外部からモニタリングする必要が出てきます。

 これを実行するのがCISOの基本的な役割です。

ーー最高情報責任者(Chief Information Officer:CIO)とCISOの立場はどのように違うと考えていますか。

 CIOは、組織における事業戦略全体を下支えするIT戦略を進めていく立場なので、CIOが管掌する情報システム部門と併せて、業務執行部門側の立場です。

 事業戦略は最高経営責任者(Chief Executive Officer:CEO)が決定し、業務執行を統括して進めていくものですから、CIOはCEOと同じ立場にいるということになります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]