ビジネスでITの重要性が増し、情報セキュリティの事件や事故も多い。そこでサイバーセキュリティや情報のリスクに対応する「最高情報セキュリティ責任者(CISO)」を設置する企業や組織が増えている。日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、2018年5月に、CISOの役割や業務のあり方などを取りまとめた資料「CISOハンドブック」を公開した(関連記事)。
CISOハンドブックでは、「技術出身のCISOが経営を理解する」あるいは「管理部門出身のCISOがセキュリティ対策を理解する」を目的に、ITやセキュリティ対策などのテクノロジーと、経営や組織運営などのマネジメントの観点から、CISOの業務執行に必要な事項が網羅的に取り上げられている。昨今は、デジタルトランスフォーメーション(DX)の必要性が高まりCISOの重要性も増す。そこで同WGが中心となり、2021年1月に最新の状況を加えた書籍「CISOハンドブック――業務執行のための情報セキュリティ実践ガイド」(技術評論社)を発刊した。
経営者がサイバーセキュリティを何でも率いるべき?
CISOの設置拡大の背景の1つには、経済産業省が2015年12月に公表した「サイバーセキュリティ経営ガイドライン」があるだろう。また、ここ数年の世界経済フォーラム(通称:ダボス会議)でもサイバーセキュリティは組織が取り組むべき重要課題の1つに挙げられている。サイバーセキュリティは、企業や組織のトップがその重要性を認識し、リーダーシップを発揮して推進しなければならないテーマとなった。
CISOハンドブック書籍版(出典:技術評論社)
WGのリーダーでPreferred NetworksのCISOを務める高橋正和氏は、「ビジネスの全てに責任を持つ経営者がセキュリティも深く理解しなければならないというのは、現実的に難しいこともある。そこで、経営も理解して情報セキュリティの業務を執行する責任者がCISOになる」と話す。
高橋氏は、IT製品の企画開発や品質管理などを経て、1999年にインターネットセキュリティシステムズ(現IBM)でセキュリティサービスを担当。事業責任者や最高技術責任者を歴任した。この時に、経営者が日常的に使う“言葉”とITや情報セキュリティの“言葉”の違いも踏まえて会話しなければならないなど、技術出身の立場でビジネスや経営を理解することに苦労したという。現在のPreferred Networksは人工知能(AI)の事業が中心で、「セキュリティを提供する側から使う側に回り、セキュリティの技術と経営やビジネスの双方を理解する難しさをより実感した」とのことだ。
CISOの業務は、新しく導入しなければならないウイルス対策ソフトの選定だろうか、それとも、情報マネジメントシステム(ISMS)の認証を取得することだろうか、あるいは、突然に発生した情報漏えい事故の対応を指揮することだろうか――。一見すると、どれもCISOの業務のようであり、一方でCISOではなく現場担当者の業務であるようにも思える。
実態としては、CISOの業務内容が明確に定義されている組織は一握りしかない。CISOに任命されたばかり多くの人々は「まず何をすべきか……」と悩んでしまう。WGはそうしたCISOの置かれた状況を改善すべく、2年近い時間と膨大な議論を費やしてCISOハンドブックを取りまとめた。今回の書籍化は、そんな悩めるCISOが増えている現状に応えた形だ。
経営と技術の視点
経営者とセキュリティ担当者との間で“会話”ができないことがある。経営者は「今週のウイルス検知が1件」と担当者から報告を聞いても、それを「安全」と評価していいか分からない。担当者も経営層が理解できる評価指標がそもそも何かが分からない。当然ながら立場も役割も違うので、この溝を埋めるのは容易ではない。
情報セキュリティの業務は、コンピューターシステムが関係する歴史的な経緯からITの業務経験者がなり手になることが多かった。技術的な業務が多い状況で、財務諸表や貸借対照表といった基礎的な経営指標を目にする機会は少なく、高橋氏のようにIT出身のCISOが悩む大きな要因がここにある。
CISOハンドブック書籍版において、技術出身のCISOに経営への理解を促すポイントの1つになっているのが、第2章にあるPDCA(Plan、Do、Check、Action)サイクルでの長期的視点と、OODA(Observe、Orient、Decide、Act)ループなどの短期的視点だ。CISOは、年次的な情報セキュリティの方針や計画などを担いつつ、その中には、例えば「某製品開発でのITセキュリティ強化」プロジェクトなどの短期的な取り組みが含まれる。現場業務ならプロジェクト内容や完遂が重要だが、執行責任者では年次の全体方針や計画がベースになる。その中で個別の取り組みの整合性を確保し、全体的な取り組みを推進(評価・報告)する。
方や、経営やビジネスでの最も基本的な指標はお金の流れであり、数字になる。誤解を恐れずに極端に言えば、経営やビジネスにおけるセキュリティとは、利益をもたらすか、それとも損害をもたらすか、だ。セキュリティのリスクにしっかりと取り組み、ビジネスにおける安全と信用・信頼を獲得すれば利益を生む。セキュリティの取り組みが不十分で、顧客を巻き込む危険な事態になれば、信用・信頼の失墜を含めた多くの損害を被る。
セキュリティと経営リスク(出典:JNSA)
このため、最近ではCFO(最高財務責任者)がCISOを兼務したり、CFOのレポートラインにCISOを設置したりするケースが増えているという。これはサイバーセキュリティ保険などのように、セキュリティを財務リスクの観点から捉えたものだ。それ故に続く第3章では、財務会計や法律にまつわる各種指標、規制などの読み解き方を解説している。
逆に、財務会計など管理部門出身のCISOには、ITやセキュリティの技術への理解が難しいかもしれない。同書では、情報セキュリティの歴史的な成り立ち、また、「ゼロトラストセキュリティモデル」など最新のテクノロジーの概念までも解説している。昨今では、DXが単なるテクノロジーの導入ではなくビジネスの変革という本質を理解する重要性が叫ばれており、本書ではDXにおけるビジネスとテクノロジーの関係、そして、導入が広がるクラウドコンピューティングの技術と情報セキュリティ環境も詳しく紹介されている。
CISOが業務を遂行するために獲得すべき知識やスキルは、あまりに幅広く深くもある。ただ、技術部門出身のCISOでも経営管理部門出身のCISOでも、技術もしくは経営のどちらかの素養は既に備えている。足りないものは本書を通じて獲得していけるだろう。そして、CISOが果たすべき大きな仕事になる、ビジネスと情報セキュリティの取り組みを指標化、評価、報告、改善という行動を実践していく。
CISOハンドブックを執筆したCISO支援WGの皆さん(左上はリーダーの高橋正和氏)
高橋氏は、「CISOがビジネスイネイブラーになってほしい」と語る。安全を守るために制限を厳しくし、結果として足かせになり息苦しくなる――セキュリティ対策には昔からこんなイメージが付きまとう。だが、セキュリティは利益や価値を生み出すための大切な要素というのが、CISOハンドブックを執筆したWGメンバーの想いだ。