yamory Blog

あなたの組織に CISO はいますか?

CISO は企業や組織における情報セキュリティを統括する責任者のことを指します。

情報セキュリティ対策を組織や企業として本格的に実施していく際に専門の役職やチームの設置が検討されることがあります。
その役職のなかの一つとして「CISO」は非常にポピュラーな存在として認識されています。

この記事では「CISO」について、その役割などをご紹介します。

CISO とは

CISO とは一般的に組織における情報セキュリティの責任者を示す役職名です。

正式名称は「Chief Information Security Officer」で、日本語に訳すと「最高情報セキュリティ責任者」という意味になります。

CISO の役割とは

CISO は企業や組織における情報セキュリティを統括する責任を担います。

場合によってはビジネス観点の目標や観点を含めた上で情報セキュリティのイニシアチブを構築する責任を持つこともあります。

CISO の企業や組織内における役割は、サイバーセキュリティに対する理想の姿と現実が乖離しないように、経営層の考えを理解し、セキュリティ部門からの要求を技術的側面からも把握したうえで、実態に即した自社のセキュリティ対策に落とし込んでいく重要なポジションとされています。

2015 年にデロイト社が発行したレポートにおいては CISO は以下の 4 つの役割を主として持ち、これらをバランスよく組み合わせることで、組織のサイバーセキュリティへの価値を最大化することができるとしています。

CISOの役割 定義
マネジメント的側面 Strategist 組織の事業、サイバーリスクに対する戦略を主導し、価値の高い投資によるリスク管理する変革を創造・推進する。
Advisor サイバーセキュリティに対するリスクの観点から事業に対して、教育 / アドバイス / 普及 / 啓発を行う。
技術的側面 Guardian サイバーセキュリティに対する脅威の全体像を理解し、リスクに関するプログラムの有効性を高めることで事業の重要な資産を保護する。
Technologist 組織のセキュリティ機能を構築するためのセキュリティ技術及び標準の評価、導入を行う。

また、情報セキュリティ/サイバーセキュリティ界隈においては、これまで「情報システム部門」や「SOC」(Security Operation Center)、「CSIRT」(Computer Security Incident Response Team)などが組織のセキュリティ対策を先導するケースがよく見られ、「CIO」(Chief Information Officer : 最高情報責任者)がセキュリティ領域の責任者を担う場合もありました。

しかしながら、組織全体に効果的なサイバーセキュリティ対策を実施するには、開発部門や社内システムのユーザーを始めとした組織全体の協力が必要となります。

こうした背景から CISO が部署間をつなぎ、セキュリティ対策の取り組みを全社的に広げるという重要な役割を担うようになりました。

世界的にもサイバー攻撃に対するセキュリティリスクが高まっていることやセキュリティ対策は経営責任の1つという認識が広まっていることからも、CISO を設置する企業や組織は増加傾向にあります。

CISO によく似た役職「CSO」とは

CSOは「Chief Security Officer」の略で、日本語に訳すと「最高セキュリティ責任者」となります。

CSO も CISO と同様に企業や組織におけるセキュリティを統括する責任を担う役割です。

もともとはセキュリティ全般に関する企業の最高責任者という捉え方が一般的でしたが、最近では CISO の普及に伴い、物理的なセキュリティ対策(情報セキュリティ以外)を担当領域とする呼称として使われることもあります。

また、組織や企業における情報セキュリティの概念と重要性の高さの普及に伴いCSOの呼称も CISO に取って代わられることが多くなっています。

CISO の設置状況

CISO の各企業や組織における設置状況は、IPA より発行されている「企業の CISO や CSIRT に関する実態調査」というレポートが参考になります。
※最新版は 2017 年発行です。

このレポート内では、経営者の情報セキュリティに対する関与と、企業の組織的な対策状況についての現状を把握するため、文献調査・アンケート調査を行っています。

アンケート調査は日・米・欧の従業員 300 人以上の企業を対象に実施されています。

ciso in the organization
CISO 等セキュリティ推進者の経営・事業に関する役割調査-調査報告書- より引用

CISO(CISO または CSO などを含む同等の責任者)の設置状況について、「経営層として CISO 等を任命している」および「経営層よりも下の階層に CISO 等を任命している」を合わせた割合は以下の通りになっています。

日本: 64.3%
米国: 78.8%
欧州: 85.0%

上記の情報から日米欧の企業において既に CISO などのセキュリティ責任者が広く設置されている状況が伺えます。

また、この数値は増加傾向にあり、今後も CISO を設置する企業の割合は増加していくと考えられます。
ビジネス上での目標をデジタル的な手法により達成する必然性と、サイバー攻撃の多様化 / 増加を考えると CISO は多くの企業にとって、今後より重要で必要な立場になりつつあるといえます。

さいごに

今回は CISO の概要について解説しました。

CISO についてまとめると以下のよううになります。

  • CISO は企業や組織の情報セキュリティに関する最高責任者
  • CISO は情報セキュリティに関する取り組みを組織や部門を横断し、全社的に広める役割を担う
  • CISO を設置する企業や組織は増加傾向にある

サイバー攻撃による被害や影響が注目される昨今において、CISO といったセキュリティに責任を持つ役職の設置をはじめとした、組織や企業全体でサイバーセキュリティに取り組んでいく流れはさらに加速していく可能性が高いと考えられます。

多様化するサイバーセキュリティに対して、どのように取り組むべきか今一度、考えてみてもいいかもしれません。

オープンソース脆弱性管理ツール yamory

  • 利用中のOSSを抽出し
    脆弱性を自動スキャン
  • 脆弱性への対応優先度を自動で分類
  • 組織規模に合わせたプランを選択可能
お問い合わせ

お気軽にお問い合わせください。
担当者よりご連絡いたします。