つまり、CIOはITシステムへの投資によってどのように利益を確保するかを担います。ITシステムによるサービスの提供などによってどのように収益を得るか、ITシステムの支援によって、どのように業務を効率化しコストを抑えていくかに重点を置いて考えることになります。
そこにセキュリティのコストがかかると利益が圧縮されますから、やはりセキュリティのコストはできるだけかけたくない、という力が働きますね。
一方、CISOは最高リスク管理責任者(Chief Risk Officer:CRO)と同じ立場にいることになります。CROは、CEOが決定した方針に対して、適切にリスクを管理しているかという観点でけん制する立場です。
これをITに近いところに置き換えたものが、CIOとCISOの関係です。業務執行部門としてCIOおよび情報システム部門がいて、それをけん制する立場としてCISOがいるという枠組みですね。
CISOはCIOおよび情報システム部門がセキュリティ対策の基本的な方針に準拠してリスク管理をしているかけん制する立場。CIOおよび情報システム部門は情報システムを実装、調達する際に、セキュリティ対策の基本的な方針に準拠して個別具体的な実装に落とし込んでいくという立場になります。
ーーCISOの業務担当領域は相当に広いようですね。
CISOが、一人でこれらの業務をしなければいけないのかというと、そんなことはありません。最近、設置されることが多くなってきた情報セキュリティ部門は、まさにCISOが管掌し、業務執行部門をけん制する役割を担います。
具体的には、企業全体のセキュリティリスク評価に基づいてセキュリティ方針やセキュリティマネジメント手順を策定し、業務執行部門がこれらに基づき業務を設計、運用しているかをモニタリングします。
また、業務執行部門から寄せられるセキュリティ対策の実装などの相談に対して、コンサルティング業務を提供することもあります。
なお、業務執行部門を第1の防衛線、そのリスク管理の状況をモニタリングする部門を第2の防衛線として、これらの防衛線の有効性を合理的に保証する、第3の防衛線としての内部監査部門を加えたリスク管理の仕組みを、3つの防衛線モデル(3 Lines of Defense Model:3LoD)と呼びます。
次回はセキュリティのコストの考え方を解説します。
3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成