企業や組織におけるセキュリティの重要性の高まりから、経営レベルでその責務を持つ「Chief Security Officer(CSO:最高セキュリティ責任者)」や「Chief Information Security Officer(CISO:最高情報セキュリティ責任者)」と呼ばれる役割が注目されている。CSOやCISOの仕事とはどのようなものか――。米セキュリティ企業のTaniumでCSOを務めるDavid Damato氏が語ってくれた。
社内にも社外にもつながっている
Tanium 最高セキュリティ責任者のDavid Damato氏
Taniumは、PCなどのエンドポイントを含むITシステムの脅威監視やインシデント対応、セキュリティ管理ためのプラットフォーム製品の開発を手掛ける。ビジネスとして外部にセキュリティを提供するメーカーの中でセキュリティを担うCSOは、ややユニークな立場かもしれない。Damato氏は自身の役割について、「当社のビジネスとセキュリティをつなげ、ビジネスの優位性を確保することだ」と言い切る。
Damato氏は、コンサルタントとして約15年にわたり、セキュリティインシデントに対応し続けてきたという。現場での経験を生かし、CSOとして経営陣とのコミュニケーションを担いながら、社内のセキュリティの向上に取り組み、同時に顧客企業のセキュリティ担当者とも頻繁にコミュニケーションを取りながら、顧客が抱えるセキュリティ課題の解決も支援しているという。
「社内外に対して当社のあらゆるセキュリティ状況を説明できるようにしている。営業やマーケティングのキャリアはないが、顧客には当社のソリューションをより良く活用してほしいと思い、社内と社外をつなぐコミュニケーションに努めている」
Tanium内部のセキュリティ対策で同氏が注力しているのは、継続的な対策状況の把握と評価、改善の取り組みとなる。具体的なセキュリティのベンチマークというより、「Key Risk Indicator」と呼ぶ標準的なセキュリティのフレームワークをベースに約30種類の評価指標を設け、リスク管理ツールを用いて、その状況を把握しているという。
例えば、社内PCの脆弱性対策ではOSベンダーなどのパッチ公開から適用が完了するまでの状況を把握し、完了を迅速化する取り組みを推進。従前は1カ月ほどを要したが、現在では数日以内に完了するようになった。多くの企業では、パッチ適用に伴うITシステムの稼働への影響を検証するために数週間を費やすケースが珍しくないが、同社では万一の際に、すぐにシステムをロールバックできる運用体制も確立しているという。
Damato氏は、各種の評価指標に基づくセキュリティ対策状況を週次で取締役会に報告。経営陣の多くが技術畑出身という環境から、同氏の報告やセキュリティの改善策の提案などは承認を得やすいというが、技術出身ではない幹部に対しては、ビジネスリスクの観点からコミュニケーションを図り、理解を得られるよう務めているという。「仮にリスクが顕在化した場合、具体的にどの程度の損害費用が生じるのかといった数字を示している」(Damato氏)