CISO（最高情報セキュリティ責任者）が経営者と専門家のギャップを埋める

机上演習でステークホルダー間の共通認識を醸成する

　完璧な情報セキュリティ対策が打てたとしても会社がつぶれては意味がない。現時点での対策状況が有効かどうかを評価する手法として髙橋氏は「机上演習」を提案する。机上演習とは、「インシデントのシナリオをインプット、公表内容をアウトプット、インシデント対応をプロセスに位置づけ、インプットに対して適切なアウトプットが出せるかをプロセスの視点から評価する」（同）ものだ（図3）。

図3：情報セキュリティ対策の有効性は事業視点で評価する

　対策の有効性を調べる方法には、実際に攻撃を仕掛けるレッドチーミングなどの手法がある。だが「有効性は高いが準備に時間がかかる」（高橋氏）のも事実だ。これに対し机上演習なら、「簡単にスモールスタートで始められる」（同）という。

　机上演習では、例えば在宅勤務の社員が利用している端末の1台がランサムウエアに感染したケースを想定し、必要な対応・対処についてディスカッションし、その結果をステータスレポートにまとめていく。影響度や深刻度については、事業視点でのリスク評価項目に基づき、顧客、業務、財務の視点から評価する。原因と要因については、その背景を探り、再発防止策としてまとめていくことが提唱されている。

　『CISOのための情報セキュリティ戦略』には、机上演習のためのシナリオや、インシデントの発生を経営陣に報告する際のフォーマットなどが用意されている。「技術者が報告書を作成すると事業視点が欠けるため」だと高橋氏は指摘する。

　机上演習後は、模擬的な記者会見を開き、外部の目線から検証し、評価とフィードバックを実施する。ワークショップを実施する際には「模擬的な記者会見を開くことを勧める」と高橋氏は強調する。

　そこでは、「すべての事故を公表すべきという考え方はしない。二次被害を招く場合もあるため、公表の必要性の確認が必要になる」（高橋氏）という。そのため記者会見用の資料としては、影響を受ける事業概要、顧客や取引先への影響概要、事業の停止や再開予定といった事業への影響、事件・事故の経緯、再発防止策、責任関係などをまとめる。

　これらの机上演習により、「事前に整理すべき情報と体制を明らかにし、施策の目的とそれぞれの役割を確認する。同時に、経営、事業、社内ステークホルダーの間に共通理解を醸成できる」と髙橋氏は強調する。

CISOはステークホルダーの立ち場の違いを見極める

　こうした情報セキュリティ戦略をマネジメントできるCISOは、どう育成できるのだろうか。髙橋氏は「情報セキュリティの知識があればCISOになれる訳ではない」と指摘する。JNSAが実施したワークショップの参加者からのフィードバックを見ると、「CISOと情報セキュリティの専門家の間には、その感想に多少のギャップがあった」（同）からだ（図4）。

図4：ワークショップ参加者の立場による傾向の違い

　具体的には、「情報セキュリティベンダーの立場では、会社の状況への興味が薄く“報連相（報告・連絡・相談）”に終始する傾向があり企業を代表する立場への認識が薄い。社内のセキュリティ担当者は、自身の役割に求められる範囲内で判断をする傾向にあり事業への興味を感じない人もいる」（高橋氏）

　こうしたギャップを埋めるためにも「机上演習が有効に働くだろう」と髙橋氏は提案する。自身の情報セキュリティ施策を評価するだけではなく、「社内のステークホルダーの観点を知ったり、対応・対処について議論することで上司や、上司の上司、社外の立場で考えたり、事業責任者などに接する機会が得られる」（同）からだ。

　高橋氏は、「CISOは高い評価を得ることが難しい職務だ。だがITは事業基盤だと言われる今、情報セキュリティを守ることも事業基盤である。CISOは、情報セキュリティを高めることはもちろん、事業に直結する経営陣であるという意識を持って活動してほしい」とエールを投げかける。