コラム columns

2020.10.14 インタビュー

IPAインタビュー「CISOの役割とプラクティス集」 PART1 ~CISOの重要性の高まりについて~

IPAインタビュー「CISOの役割とプラクティス集」の第一回目は、『CISOの重要性の高まりについて』をお届けします。



■「企業のCISO等やセキュリティ対策推進に関する実態調査」


(小川)

IPAでは以前から、企業のセキュリティ対策の実態について調査を行ってきました。2017年頃からCISO (Chief Information Security Officer、最高情報セキュリティ責任者) という言葉が使われだし、CISO等も含めたセキュリティ実態調査へとシフトしていきました。

今回の調査は、企業の実態の経年変化を見るという観点でも行いました。結果として、CISO等の役割に対する期待感が変わってきていることが分かります。 

2020-01-01「企業のCISO等やセキュリティ対策推進に関する実態調査報告書」表紙 (2020年3月25日)


■CISOに求められる役割とは

(半貫)

CISO等の調査を始めた当初は、技術的な役割を求められる傾向にありましたが、最近は事業的な役割、経営的な役割にシフトしています。調査結果からも、両方を求めているという回答が70%を占めています。


(小川)

CISOの役割として、セキュリティのことだけやっていればよいという考え方の人は少数であると感じます。企業ヒアリングでも、CISOに求められるスキルは、セキュリティのスキルというより、コミュニケーションスキル、調整力が重視されているのだろうなと感じています。

企業がCISOをたてるとしたときに、今いる人材の中からCISOをたてることが多いと思いますが、人材の専門家にヒアリングすると、CISOは情報システム部門系、または総務部門系の2通りから就くという話を聞きます。

総務系の人はセキュリティの専門家ではありませんから、事業全体をみるという役割が求められているのでしょう。今回のアンケートではキャリアパスとの相関は分からないのですが、話を聞く限り、総務系の人がCISOやCIOになっているケースが多くあるという感じを受けます。

結局CISOは、今社内や部門にいる人で間に合わせる、今いる人ができることやるというのが実情です。その人がセキュリティも事業もわかることは難しく、CISOはチームで構成されることが必要だと思います。1人では難しいですから。総務系の人がいたりIT系の人がいたりしてお互いに調整する。そういう風にやるのだろうなとヒアリングしながら思いました。


■CISOに求められるコミュニケーションの重要性

(半貫)

今回の「プラクティス集 第2版」の中でも、各部門とのコミュニケーションの重要性が節々にでてきています。これが共通の対策の1つになるのだと思います。CISOの任命では、兼務の割合が93%、専任が7%となっています。とりあえず兼任でたてておくというのが現在の主流のようです。専任でたてられるようなところは大きな企業ですね。

一方海外のCISOに関する調査等をみると、欧米では専任のCISOがたてられることが多いようです。


(小川)

国内企業では、IT専門家を何人もたてられない場合は、CIOとCISOが兼任というのは普通にあるかと思います。企業では通常、「ITが分かる人」は、部門外でも業務を任される傾向があるので、セキュリティを含めて「全部お願いね」となってしまうことがあるようです。


■CISOの現状と期待

(小川)

CISOの役割定義は決まっていません。去年、CISO等に有識者インタビューで伺いましたが、一人の方は、経営層に対してまず最初に「私は何をすればいいですか」と、役割定義の確認から始めたそうです。

これまで「この業務量であればCISO専任の人材が必要」と言えるような役割が定義できないことが多かったのですが、この例のように今ようやくCISOの役割定義が出来つつあります。

2020-01-02

セキュリティセンター 小川隆一 グループリーダー(左)

セキュリティセンター 半貫貴久 研究員(右)

(半貫)

CISOの一番大きな役割の一つは、「経営者にいかにセキュリティ予算を確保してもらうか」であるという意見がありました。今の日本の経営者の方の多くは、セキュリティをコストと考え、ビジネスへの投資という感覚になかなかなってくれない。いかにそこを説得するかが重要なのだと思います。

これに対する一つのやり方として、CFOと一緒に組んで「事業のためにこのセキュリティ対策が重要なんですよ」と経営者を説得するのが効果的、という話をお聞きしました。なるほどと思いました。




≪参考URL≫

企業のCISO等やセキュリティ対策推進に関する実態調査報告書 (2020年3月25日) [IPA]

サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版 (2020年6月9日) [IPA]

サイバーセキュリティ経営ガイドラインの概要 (v2:2017年11月16日) [METI]

「企業のCISOやCSIRTに関する実態調査2017」報告書について (2017年11月16日) [IPA]