CISOの役割と設置

米大手金融シティグループのジョン・デュガン会長は日本経済新聞社のインタビューにおいて、サイバー対策と取締役について次のように述べている[1]。①会長に就任して以来、取締役会メンバーで新たに注力している課題は「サイバー」だ。我々はサイバー対策として毎年、何億ドルもの資金を投じている。②3人の取締役がそれぞれ異なるテクノロジーの専門性を持つ。一人はインテルの上級役員を務めていた。もう一人はテクノロジー関連の投資家だった。そして最後の一人は金融犯罪に対応する政府機関の経験を持つ。③取締役会を開く場合、サイバー危機に関する会議を設けることが多い。取締役はデータが盗まれた場合にどう公表すべきかなどの研修を受け、多くの出来事に備える最善の手法を学んでいる。

また、昨年9月に発表された「三菱UFJ、サイバーセキュリティの専任役員「CISO」設置 3メガ初」[2]も記憶に新しい。

CISOの役割や設置については、政府や業界団体などが各種ガイドラインで要請したこともあり、その必要性の理解や認知度は向上した。経済産業省とIPAが共同策定した「サイバーセキュリティ経営ガイドライン」には、経営者が認識すべき3原則が掲げられている[3]。その原則とは、①サイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、サイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)を任命するとともに、経営者自らがリーダーシップを発揮して適切な経営資源の配分を行うことが必要、 ②自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要、③平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る 情報開示など、関係者との適切なコミュニケーションが必要、の3点である。

また、サイバーセキュリティ戦略本部による「サイバーセキュリティ人材育成プログラム」においては、経営層の意識改革とCISOについて次のように提言している[4]。①経営層は引き続き意識改革が必要であるが、サイバーセキュリティ対策をやむを得ない「費用」として認識するのではなく、ITの利活用の広がりに対応した新しい考え方が必要である。②経営層の補佐的な役割を担う人材が、サイバーセキュリティの素養を持ち、経営戦略だけでなく、サイバーセキュリティの関係する業務課題を十分に理解した上で、経営層に対しセキュリティに関する課題と対応を進言するとともに、技術者をはじめとする様々な役割を持った実務者層を指揮することができるいわゆる「橋渡し人材層」が必要である。

あるべき姿と現実の乖離

前述のような指針もあり、CISOの設置はある程度進んではいるが、CISOに求められる資質やスキル、そしてそのようなスキルを持つ人材不足から、本来あるべき姿と現実には乖離があるようである。「CISO等セキュリティ推進者の経営・事業に関する役割調査」[5]において、CISOおよびその補佐役となる橋渡し人材等のセキュリティ推進者が担う役割や期待について興味深い報告がなされている。75%超の経営層は、CISO等セキュリティ推進者の役割として、経営・事業に関する役割を重要視しているものの、実際にコーポレートガバナンス(経営に関する役割)や事業貢献の役割を担っているCISOやセキュリティ推進者は半数以下に留まっている。これは、①経営・事業に関する役割に必要となる権限がCISOに与えられていないから役割を果たせない、②経営層が示した戦略と現場の個別の取組みを調整する機能が重要であるが、それを実際に実行できるCISOが十分いない等が理由のようである。日本では、CISOはCIOや情報システム部長、非IT系部門の総務部門担当の役員が兼務している場合も多い。例えば、先の調査[5]では、CISOを経営層(「取締役」または「執行役」)として設置している割合は 36.9%であり、65%は非役員の部門長等現場の責任者や課長クラスが担当しているとの結果が報告されている。

本来あるべき姿と現実との乖離については、人材不足等も理由ではあるが、Gartnerのレポート[6]に興味深い指摘がある。本レポートでは、CISOやセキュリティ責任者の行動や意識の問題点を指摘している。例えば、①CISOやセキュリティ責任者は、ビジネスの現場や基幹業務に関する会議に呼ばれるようになったが、多くの場合、技術的な問題に焦点をあてた戦術的な議論を行い、ビジネスリスクの議論をリードして来なかった、②事業責任者から見た場合、なぜCISOが事業の戦略会議に参加するのか、この理由も明確に説明して来なかったと述べている。本来であれば、CISO等はビジネス目標とセキュリティおよびリスク管理の目標を結び付ける議論をリードする立場にありながらそれに至っていないのである。

CISOはセキュリティポリシーの策定・順守、セキュリティリスクの分析、インシデント発生時のCSIRT組織の設置と運用等も主要担務ではあるが、それ以上にセキュリティを経営に組み込み、ビジネス目標とリスク管理を行うことが重要な担務である[7]

CISOを取巻く環境の変化

DXに代表されるビジネスのデジタル化、クラウド化、データ保護やGDPRなどの国際的な法規制の変化、エコシステムの拡大に伴うサプライチェーンの管理、セキュリティ脅威の高まり等、2013年以降CISOを取巻く環境は大きく変化した。CISOに対する期待と責任は大きくなる一方、日常的な火消し作業が減っているわけでもない。CISOやセキュリティ責任者に降りかかるストレスは増すばかりである。

シマンテック社やロンドン大学等が、英国、ドイツ、フランスの3000人のセキュリティ責任者に対して実施したインタビュー調査によると、約82%が精魂尽きたと答え、約3分の2が仕事を辞めることを考えていると回答している[8,9]。また、英国のNominet社が米国と英国の約400人のCISOを対象にした調査によると、回答者の半数以上は進化する脅威に対処するのに十分な予算またはリソースがないと感じ、25%のCISOはストレスのために身体的または精神的な健康問題に苦しんでいるようである[10]。ロンドン大学のBrauer博士は、合理的な意思決定を必要とする仕事においてストレスは致命的になる可能性があり、技術・人材不足に苦しんでいるセキュリティ業界においてストレスが大きなリスクをもたらす可能性があると警鐘を鳴らしている[8]

シティグループのジョン・デュガン会長の言葉にもあるように、サイバーリスクは経営陣や取締役会にとっての最重要リスクである。サイバーセキュリティは、インシデントが発生したときに経営幹部の立場に大変大きな影響をもたらす。経営幹部が組織に対する潜在的なリスクを適切に対処できなかった場合、経営者が辞任や解雇に追い込まれる例もある。経営者はCISOを取巻く環境の変化の再認識と対応が必要である。

CISOはもはや補佐役でもなく、橋渡し役でもない。DX時代において、CISOは経営トップとともに組織の文化に影響を及ぼす立場であり、組織のリスク文化を変えるために任命されたリーダーである。リスク選好(Risk Appetite)という言葉がある。組織はどれだけリスク旺盛かという意味であり、ゼロリスク指向ではなく、受け入れ可能なリスクを見定め、リスクをコントロールする営みである。リスク回避・ゼロリスク願望からリスク認識(Risk Aware)に基づく経営戦略が必要である。

[1]https://www.nikkei.com/nkd/industry/article/DisplayType=2&n_m_code=121&ng=DGKKZO46183600X10C19A6EE9000

[2]https://www.nikkei.com/article/DGXMZ O35116660X00C18A9EA4000/

[3]https://www.meti.go.jp/press/2017/11/ 20171116003/20171116003-1.pdf

[4]https://www.nisc.go.jp/active/kihon/pdf/jinzai2017.pdf

[5]https://www.ipa.go.jp/files/000065213.pdf

[6] Peter Firstbrook, et al., Top Security and Risk Management Trends, Gartner, 31 Jan. 2019

[7]https://www.jnsa.org/result/2018/act_ciso/data/ciso-handbook_v011b.pdf

[8]https://channelconnect.nl/media/2019/05/High-Alert-research-Symantec.pdf

[9]https://www.infosecurity-magazine.com/news/cisos-consider-quitting-industry-1/

[10]https://media.nominet.uk/wp-content/uploads/2019/02/12130924/Nominet-Cyber_CISO-report_FINAL-130219.pdf

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/