CISOの仕事のアプローチ
CISOには、マネジメントやビジネス、技術に関する広範なスキルや知識が求められるが、IPAの調査では、ITやサイバーセキュリティとの関わりも踏まえ、“技術畑”の人材に期待する向きが強いようだ。
WGリーダー代行の高橋正和氏(Preferred Networks 執行役員 最高セキュリティ責任者)は、外資系セキュリティ企業の事業責任者やIT企業で製品セキュリティなどの責任者を歴任した経験から、技術者がビジネス感覚を身につけるのはなかなか難しいとし、「CISOハンドブック」の作成では、経営やビジネスの観点からCISOの役割や業務内容などを整理したという。
例えば、セキュリティの方針や戦略を検討する場合、従来は「情報セキュリティマネジメントシステム(ISMS)」のような標準を参考にすることが多い。しかし、セキュリティは多様なビジネスリスクの1つに過ぎず、経営全体の視点からとらえていく必要がある。
経営リスクとセキュリティリスクの関係性(出典:JNSA)
「言葉の使い方でも、専門家はついセキュリティのCIA(機密性:Confidentiality、完全性:Integrity、可用性:Availability)を用いがちだが、それでは経営層に伝わらない。セキュリティのリスクがビジネスに与える影響について分析やデータを交えて示すことや、経営層との会話が事業に関するものか、あるいはIT戦略に関するものかというように、内容や階層にも気を配ることが重要になる」(高橋氏)
高橋氏は、経営の視点とセキュリティの視点では、マネジメント手法や取り組み方などにも違いがあると解説する。
例えばマネジメント手法では、状況変化へ対応するために「PDCAサイクル(計画:Plan、行動:Do、評価:Check、改善:Act)」がよく用いられるが、これは経営計画や事業計画との相性が良いという。しかしセキュリティは、インシデントなどの事態が突発的に発生するため平常時と緊急時の状況変化が激しく、PDCAサイクルよりも「OODAループ(観察:Observe、判断:Orient、決断:Decide、改善:Act)」の方がうまく行く場合があるという。
取り組み方でも、仮に従来の経営スタイルをウォーターフォール型だとすれば、経営にスピード感が求められる現在ではDevOps型のようなスタイルに変化しつつあり、ここにセキュリティを組み込む「DevSecOps」のスタイルを実現しやすいと解説する。
こうした点を踏まえた「CISOハンドブック」は、基本ドキュメントに加え、CISOが経営会議などで報告し、承認を得るためのサンプルと位置付ける「CISOダッシュボード」、事故時の対応手順の検討や訓練などに役立つ「インシデントワークショップ」(2種類)の合計4種類のドキュメントで構成される。
