セキュリティが経営課題の1つに位置付けられるようになり、経済産業省の「サイバーセキュリティ経営ガイドライン」では、企業や組織のトップに積極的な取り組みを求める一方、実務はIT部門などの現場部門が所管するケースが多く、経営と現場の隔たりがボトルネックになるとの指摘も聞かれる。こうした中で双方をつなぐ“橋渡し役”として期待されているのが、「CISO(Chief Information Security Officer:最高情報セキュリティ責任者)」と呼ばれる立場だ。
CISOの役割や仕事に関する明確な定義がない中、日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、2年以上の議論を経て、CISOの役割や業務のあり方などを取りまとめた「CISOハンドブック」を公開した。
CISOの役割と人材像
CISOは、その名称の通り情報セキュリティ全般に責任を追う立場とされるが、今では情報がデータとしてITシステムで処理され、サイバー攻撃などITにまつわる要素が多いことから、サイバーセキュリティの重要性の高まりとともに誕生した新しい立場といえる。
情報処理推進機構(IPA)で企業や組織のセキュリティ推進体制の調査を担当する情報セキュリティラボラトリーの島田毅氏によると、CISOには、その肩書を持つ取締役から部門長(CIOなど)の兼務職、危機管理やITなどの現場部門の担当者に至るまで、さまざまな形態がある。
CISOなどの組織における位置付け(出典:IPA)
上記のガイドラインでは、企業や組織のトップにセキュリティのリーダーシップを求めるが、多忙を極めるトップが実務に近い領域にまで関わるのは難しい。また実務の現場には、IT部門以外に、総務や人事、危機管理、法務、広報、顧客対応など、多くの部署の参加を必要とする。トップのリーダーシップと現場の各部署の実務が一体となって機能するには、双方をつなぐ“橋渡し役”が必要であり、その役割がCISOに期待されている。ガイドラインでは、トップが示すセキュリティの方針に基づいて実務を指揮する責任者を任命し、しかるべき権限や予算を与えるよう求めている。
CISOに期待される経営やビジネスでの役割
“橋渡し役”としてのCISOには、トップと実務の双方に関する理解、コミュニケーションによる調整能力、マネジメント力、戦略や業務の実行力、そしてITやセキュリティについての技術知識といったスキルに加え、セキュリティリスクが経営や事業に与える影響(業績や信頼、ブランドなど)の分析とその説明を的確に行える能力が必要とされる。
島田氏によると、海外で議論されるCISOの人材像には、「戦略家」「アドバイザー」「守護者」「技術者」の4つの“顔”があるという。しかし、これらを兼ね備える人材は極めて少なく、島田氏は、実際には、CISOもしくはCISO相当の責任者と実務の各方面に通じたスタッフで構成される「CISOチーム」としての取り組みが重要になると解説する。
