海外コメンタリー

重要性高まる最高情報セキュリティ責任者(CISO)、着任時にまず取り組むべきこととは

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2021-11-08 06:30

 進化を続ける破壊的なサイバー攻撃の脅威に常に備えなければならない中、最高情報セキュリティ責任者(CISO)になるのは容易なことではない。

 CISOは、組織のサイバーセキュリティに関する問題を司るチームを統率することが期待されているとともに、コンプライアンス、規制、法律に関する問題や、業務プロセスやパッチの管理などを扱う戦略を策定し、その戦略を実行する必要がある。

 さらに企業のCISOには、進化する脅威に関する状況について十分な知識を備えていることが期待され、インシデント対応でも重要な役割を果たすことが求められるかもしれない。CISOが、最高情報責任者(CIO)と協力しながらデータのコンプライアンス管理に従事する場合もある。

 その上、One Source CommunicationsのCISOを務めるSteve Cobb氏によれば、今のCISOは数字に強い必要もあるという。これは、最近では予算が重要な問題になっているためだ。

 Cobb氏は、Mandiantが開催した「Cyber Defense Summit 2021」で講演を行い、CISOが成功するためには、社外から採用されたか、組織の生え抜きかに関わらず、多くの課題について検討し、取り組む必要があると語った。

 同氏によれば、CISOやセキュリティ責任者に新たに就任した人は、まず以下のような作業に取り組む必要があるという。

 既存のすべてのポリシーを見直す。Cobb氏は、新任のセキュリティ責任者が最初に行うべきことは、ITやセキュリティに関する既存のポリシーを見直すことだと述べている。特に、いざというときの事業継続計画や復旧計画に加え、(存在していれば)インシデント対応計画には注意を払うべきだという。

 もしこれらの計画がまだなければ、それは新任の担当者が「組織に大きな影響を与えられるチャンスだ」とCobb氏は述べている。

 過去3回のセキュリティ評価の結果を確認する。これらの評価には、ペネトレーションテストや、レッドチームの関与や、脆弱性スキャンの記録が含まれる。

 Cobb氏はまた、新任のセキュリティ担当者に、セキュリティ意識に関するトレーニングや、フィッシング対応シミュレーションについても調査し、これらのトレーニングがスタッフにとって実践的で価値のあるものになっているかどうかを検討するよう勧めている。

 サイバー保険契約を見直す。新任のCISOは、サイバー保険、法務部門の意見反映、インシデント対応チームとのつながりなどを含む既存の契約を評価すべきであり、同時に誰が企業の広報を担当しているかも確認すべきだ。

 また、サイバー保険にどんな内容が盛り込まれているかも調べなければならない。例えば、ランサムウェアへの感染やデータの盗難、恐喝などをカバーしているか、カバーしている場合、保険金額はどの程度かといったことを押さえておく必要がある。

 さらに、サイバーセキュリティインシデントによって訴訟に巻き込まれた場合の賠償金がカバーされているか、また、自分のチームにも同じ条件が適用されるかどうかについても確認すべきだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]