あなたの組織にCISOはいますか?
CISOは企業や組織における情報セキュリティを統括する責任者のことを指します。
情報セキュリティ対策を組織や企業として本格的に実施していく際に専門の役職やチームの設置が検討されることがあります。
その役職のなかの一つとして「CISO」は非常にポピュラーな存在として認識されています。
この記事では「CISO」について、その役割などをご紹介します。
CISOとは
CISOとは一般的に組織における情報セキュリティの責任者を示す役職名です。
正式名称は「Chief Information Security Officer」で、日本語に訳すと「最高情報セキュリティ責任者」という意味になります。
CISOの役割とは
CISOは企業や組織における情報セキュリティを統括する責任を担います。
場合によってはビジネス観点の目標や観点を含めた上で情報セキュリティのイニシアチブを構築する責任を持つこともあります。
CISOの企業や組織内における役割は、サイバーセキュリティに対する理想の姿と現実が乖離しないように、経営層の考えを理解し、セキュリティ部門からの要求を技術的側面からも把握したうえで、実態に即した自社のセキュリティ対策に落とし込んでいく重要なポジションとされています。
2015年にデロイト社が発行したレポートにおいてはCISOは以下の4つの役割を主として持ち、これらをバランスよく組み合わせることで、組織のサイバーセキュリティへの価値を最大化することができるとしています。
CISOの役割 |
定義 |
|
---|---|---|
マネジメント的側面 |
Strategist |
組織の事業、サイバーリスクに対する戦略を主導し、価値の高い投資によるリスク管理する変革を創造・推進する。 |
Advisor |
サイバーセキュリティに対するリスクの観点から事業に対して、教育/アドバイス/普及/啓発を行う。 |
|
技術的側面 |
Guardian |
サイバーセキュリティに対する脅威の全体像を理解し、リスクに関するプログラムの有効性を高めることで事業の重要な資産を保護する。 |
Technologist |
組織のセキュリティ機能を構築するためのセキュリティ技術及び標準の評価、導入を行う。 |
また、情報セキュリティ/サイバーセキュリティ界隈においては、これまで「情報システム部門」や「SOC」(Security Operation Center)、「CSIRT」(Computer Security Incident Response Team)などが組織のセキュリティ対策を先導するケースがよく見られ、「CIO」(Chief Information Officer:最高情報責任者)がセキュリティ領域の責任者を担う場合もありました。
しかしながら、組織全体に効果的なサイバーセキュリティ対策を実施するには、開発部門や社内システムのユーザーを始めとした組織全体の協力が必要となります。
こうした背景からCISOが部署間をつなぎ、セキュリティ対策の取り組みを全社的に広げるという重要な役割を担うようになりました。
世界的にもサイバー攻撃に対するセキュリティリスクが高まっていることやセキュリティ対策は経営責任の1つという認識が広まっていることからも、CISOを設置する企業や組織は増加傾向にあります。
CISOによく似た役職「CSO」とは
CSOは「Chief Security Officer」の略で、日本語に訳すと「最高セキュリティ責任者」となります。
CSOもCISOと同様に企業や組織におけるセキュリティを統括する責任を担う役割です。
もともとはセキュリティ全般に関する企業の最高責任者という捉え方が一般的でしたが、最近では CISOの普及に伴い、物理的なセキュリティ対策(情報セキュリティ以外)を担当領域とする呼称として使われることもあります。
また、組織や企業における情報セキュリティの概念と重要性の高さの普及に伴いCSOの呼称も CISOに取って代わられることが多くなっています。
CISOの設置状況
CISOの各企業や組織における設置状況は、IPAより発行されている「企業のCISOやCSIRTに関する実態調査」というレポートが参考になります。
※最新版は2017年発行です。
このレポート内では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っています。
アンケート調査は日・米・欧の従業員300人以上の企業を対象に実施されています。
CISO等セキュリティ推進者の経営・事業に関する役割調査-調査報告書- より引用
CISO(CISOまたはCSOなどを含む同等の責任者)の設置状況について、「経営層としてCISO等を任命している」および「経営層よりも下の階層にCISO等を任命している」を合わせた割合は以下の通りになっています。
日本:64.3%
米国:78.8%
欧州:85.0%
上記の情報から日米欧の企業において既にCISOなどのセキュリティ責任者が広く設置されている状況が伺えます。
また、この数値は増加傾向にあり、今後もCISOを設置する企業の割合は増加していくと考えられます。
ビジネス上での目標をデジタル的な手法により達成する必然性と、サイバー攻撃の多様化/増加を考えるとCISOは多くの企業にとって、今後より重要で必要な立場になりつつあるといえます。
さいごに
今回はCISOの概要について解説しました。
CISOについてまとめると以下のよううになります。
- CISOは企業や組織の情報セキュリティに関する最高責任者
- CISOは情報セキュリティに関する取り組みを組織や部門を横断し、全社的に広める役割を担う
- CISOを設置する企業や組織は増加傾向にある
サイバー攻撃による被害や影響が注目される昨今において、CISOといったセキュリティに責任を持つ役職の設置をはじめとした、組織や企業全体でサイバーセキュリティに取り組んでいく流れはさらに加速していく可能性が高いと考えられます。
多様化するサイバーセキュリティに対して、どのように取り組むべきか今一度、考えてみてもいいかもしれません。