最高情報セキュリティ責任者(CISO)とは
CISOの役割は、セキュリティ戦略を立案し、データ資産を保護することだ。CISOは通常、これらの目標を達成するために、最高情報責任者(CIO)と連携しながら仕事をしている。
CISOの仕事は
CISOは情報セキュリティの守り手であり、その役割は、複雑さを増す一方の規制に対処しながら、ポリシーやセキュリティアーキテクチャー、業務プロセス、システムを整えることで、サイバー脅威のリスクを減らし、データの安全性を保つことだ。CISOにとっては、コンプライアンスもリスク管理について理解することと同じくらい重要な要素になっている。
CISOは、サイバーセキュリティの脅威を取り巻く状況がどう進化しているのか、その進化が企業のセキュリティリスクにどんな影響を与えうるのかを把握するよう努めている。つまりCISOは、マルウェアやハッキングのリスク、内部関係者に起因する脅威、組織内のシステムに存在する未パッチの脆弱性まで、あらゆることを考慮に入れているということだ。情報漏えいが発生した際のインシデント対応では、CISOが中心的な役割を果たす場合が多くなるだろう。
サイバーセキュリティは重要視されるようになっている。451 Researchとセキュリティ企業のKasperskyが発表したレポートによれば、CISOの大半(89%)が、定期的に取締役会に召喚され、事業部門に対するアドバイスを求められているという。
CISOはどのくらい重要なのか
一言で言えば、極めて重要だ。Grant Thornton LLPとTechnology Business Management Councilのレポートによれば、ITシステムのセキュリティを確保し、規制に対応することは、IT部門の責任者の最優先事項になっている。サイバーセキュリティに対する支出を増やしたITリーダーは83%に上るという。
CISOには経営陣に対する発言力があるか
ある程度はある。幸い、CISOの意見を聞く経営幹部は増えている。その一方で、必ずしも企業戦略の中でサイバーセキュリティが重視されているとは言えない。451 ResearchとKasperskyのレポートによれば、CISOの半数近く(43%)は、ほかの事業部門やITの取り組みと予算取りにおいて競合関係にあると感じているという。
実のところ、この予算獲得競争は、大局的なビジネストレンドに反していると言えるだろう。ほぼあらゆる専門家が、企業がセキュリティに真剣に取り組む必要性はこれまで以上に高まっていると考えているためだ。ところが、KPMGとHarvey Nashのレポートによれば、ITリーダーの30%強が過去2年の間に所属組織が攻撃を受けたと回答しているにも関わらず、セキュリティリスクに対する備えが十分にできていると考えるITリーダーは30%弱しかいない。