編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

CISOの役割や仕事とは?--JNSAが公開したハンドブックの中身 - (page 3)

國谷武史 (編集部)

2018-05-30 06:00

CISOの仕事のアプローチ

 CISOには、マネジメントやビジネス、技術に関する広範なスキルや知識が求められるが、IPAの調査では、ITやサイバーセキュリティとの関わりも踏まえ、“技術畑”の人材に期待する向きが強いようだ。

 WGリーダー代行の高橋正和氏(Preferred Networks 執行役員 最高セキュリティ責任者)は、外資系セキュリティ企業の事業責任者やIT企業で製品セキュリティなどの責任者を歴任した経験から、技術者がビジネス感覚を身につけるのはなかなか難しいとし、「CISOハンドブック」の作成では、経営やビジネスの観点からCISOの役割や業務内容などを整理したという。

 例えば、セキュリティの方針や戦略を検討する場合、従来は「情報セキュリティマネジメントシステム(ISMS)」のような標準を参考にすることが多い。しかし、セキュリティは多様なビジネスリスクの1つに過ぎず、経営全体の視点からとらえていく必要がある。

経営リスクとセキュリティリスクの関係性(出典:JNSA)
経営リスクとセキュリティリスクの関係性(出典:JNSA)

 「言葉の使い方でも、専門家はついセキュリティのCIA(機密性:Confidentiality、完全性:Integrity、可用性:Availability)を用いがちだが、それでは経営層に伝わらない。セキュリティのリスクがビジネスに与える影響について分析やデータを交えて示すことや、経営層との会話が事業に関するものか、あるいはIT戦略に関するものかというように、内容や階層にも気を配ることが重要になる」(高橋氏)

 高橋氏は、経営の視点とセキュリティの視点では、マネジメント手法や取り組み方などにも違いがあると解説する。

 例えばマネジメント手法では、状況変化へ対応するために「PDCAサイクル(計画:Plan、行動:Do、評価:Check、改善:Act)」がよく用いられるが、これは経営計画や事業計画との相性が良いという。しかしセキュリティは、インシデントなどの事態が突発的に発生するため平常時と緊急時の状況変化が激しく、PDCAサイクルよりも「OODAループ(観察:Observe、判断:Orient、決断:Decide、改善:Act)」の方がうまく行く場合があるという。

 取り組み方でも、仮に従来の経営スタイルをウォーターフォール型だとすれば、経営にスピード感が求められる現在ではDevOps型のようなスタイルに変化しつつあり、ここにセキュリティを組み込む「DevSecOps」のスタイルを実現しやすいと解説する。

 こうした点を踏まえた「CISOハンドブック」は、基本ドキュメントに加え、CISOが経営会議などで報告し、承認を得るためのサンプルと位置付ける「CISOダッシュボード」、事故時の対応手順の検討や訓練などに役立つ「インシデントワークショップ」(2種類)の合計4種類のドキュメントで構成される。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]