編集部からのお知らせ
解説:1st ? 2nd ? 3rd ? データ活用での選択
セキュリティの懸念高まる産業用制御機器

攻撃者優位時代のセキュリティ--CISOの役割を明確にする - (page 3)

吉澤亨史 山田竜司 (編集部)

2017-08-21 07:00

 つまり、CIOはITシステムへの投資によってどのように利益を確保するかを担います。ITシステムによるサービスの提供などによってどのように収益を得るか、ITシステムの支援によって、どのように業務を効率化しコストを抑えていくかに重点を置いて考えることになります。

 そこにセキュリティのコストがかかると利益が圧縮されますから、やはりセキュリティのコストはできるだけかけたくない、という力が働きますね。

 一方、CISOは最高リスク管理責任者(Chief Risk Officer:CRO)と同じ立場にいることになります。CROは、CEOが決定した方針に対して、適切にリスクを管理しているかという観点でけん制する立場です。

 これをITに近いところに置き換えたものが、CIOとCISOの関係です。業務執行部門としてCIOおよび情報システム部門がいて、それをけん制する立場としてCISOがいるという枠組みですね。

 CISOはCIOおよび情報システム部門がセキュリティ対策の基本的な方針に準拠してリスク管理をしているかけん制する立場。CIOおよび情報システム部門は情報システムを実装、調達する際に、セキュリティ対策の基本的な方針に準拠して個別具体的な実装に落とし込んでいくという立場になります。

ーーCISOの業務担当領域は相当に広いようですね。

 CISOが、一人でこれらの業務をしなければいけないのかというと、そんなことはありません。最近、設置されることが多くなってきた情報セキュリティ部門は、まさにCISOが管掌し、業務執行部門をけん制する役割を担います。

 具体的には、企業全体のセキュリティリスク評価に基づいてセキュリティ方針やセキュリティマネジメント手順を策定し、業務執行部門がこれらに基づき業務を設計、運用しているかをモニタリングします。

 また、業務執行部門から寄せられるセキュリティ対策の実装などの相談に対して、コンサルティング業務を提供することもあります。

 なお、業務執行部門を第1の防衛線、そのリスク管理の状況をモニタリングする部門を第2の防衛線として、これらの防衛線の有効性を合理的に保証する、第3の防衛線としての内部監査部門を加えたリスク管理の仕組みを、3つの防衛線モデル(3 Lines of Defense Model:3LoD)と呼びます。

 次回はセキュリティのコストの考え方を解説します。


3 Lines of Defense Model
出典:”THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL“ (2013/01)か らEYにおいて作成

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]