求められるリーダーシップ・スキル
情報(データ)は、「人」・「金」・「モノ」に並ぶ経営資源とされ、その漏洩・改ざん・破損・消失が企業に与える経済的ダメージは大きい。実際、IBMのグローバル調査(ITリスクの経済的影響に関するIBMグローバル調査/実施:2013年7月)でも、「データ障害/データ盗難」が、「企業評価への影響が最も大きなリスク」にランクされている。また、その発生確率も「人的エラー」「ITシステム障害」に次ぐ第3位にランクされ、経済的影響度と発生確率の掛け合わせで考えても、データ障害/データ盗難が企業にとっていかに深刻な問題かが分かる(下図参照)。
資料:ITリスクの経済的影響に関するIBMグローバル調査/2013年7月
そうした中で、各国企業のセキュリティー・リーダーが指摘するのが、「リーダーシップ・スキルの拡大」の必要性である。つまり、経営・ビジネスの観点から、情報セキュリティーの施策を牽引することが、これからのセキュリティー・リーダー、あるいはCISOにとって必要不可欠であるということだ。
CISO/セキュリティー・リーダーは、経営と一体となって情報セキュリティー施策を牽引し、サイバー犯罪や自社IT環境の変化に合わせてセキュリティー施策を最適化したり、セキュリティーの観点からIT施策に制御をかけたり、セキュリティー・ガバナンスを社内で徹底させる。また、サイバー攻撃の高度化と増大の中では、攻撃からの防御を固めるだけではなく、セキュリティー・インシデント(セキュリティー障害・事故)にすみやかに対応し、その被害を最小限に食い止める態勢を整えることも重要だ。この取り組みにも、情報防御の観点から、止めるべきシステムは、すべて止められる権限とリーダーシップを持ったCISO/セキュリティー・リーダーの存在は不可欠だろう。
ちなみに、昨年1年だけでも、暗号化ソフトウェア「OpenSSL」や、マイクロソフトのブラウザ「IE(Internet Explorer)、UNIX/Linuxの標準コマンド(シェル・プログラム)「GNU bash」といった重要ソフトウェアに相次ぎ脆弱性が発見され、それらの脆弱性を突く攻撃が多数確認された。このような場合に、狼狽せず、適切かつ迅速な対応を取るためには、CISOのリーダーシップの下で組織された対応チームがしっかりと機能しなければならない。
IBMがまとめた『2014 IBM CISO アセスメント(日本語版)~将来の脅威に対応できる基盤:2014 CISOアセスメントからの洞察』からは、ITとサイバー・リスクの変化・多様化が進む中で、世界のCISO/セキュリティー・リーダーが何を考え、何を目指し、どのようなセキュリティー施策を展開しようとしているのかが読み取れる。それは、企業情報セキュリティーのあるべき未来を指し示す「羅針盤」とも言えるものだ。企業のサイバー・リスクを最小化していきたい――そう考える方は、是非、一読されたい。