- News
- 共通
CISO(最高情報セキュリティ責任者)が経営者と専門家のギャップを埋める
「CIO Japan Summit 2023」より、日本ネットワークセキュリティ協会 副会長髙橋 正和 氏
デジタル化が進む中、情報セキュリティ対策は事業継続のうえでも重要な課題になっている。そこで注目されるのが情報セキュリティに責任を持つ「CISO(Chief Information Security Officer)」だ。日本ネットワークセキュリティ協会(JNSA)副会長でCISO支援ワーキングループグループリーダーの髙橋 正和 氏が「CIO Japan Summit 2023」(主催:マーカス・エバンズ・イベント・ジャパン、2023年11月9日)に登壇し、CISOの役割や育成について解説した。
「『CISO(Chief Information Security Officer)』は、情報セキュリティの専門家を集めたセキュリティ部隊の責任者であり経営陣の一員、つまり事業責任者でもある」−−。日本ネットワークセキュリティ協会(JNSA)副会長でCISO支援ワーキングループグループリーダーの髙橋 正和 氏は、CISOをこう位置付ける(写真1)。だがCISOに限らず、「事業責任者としての業務執行に関する資料を探しても、なかなか見つからない」とも指摘する。
例えば、経営関連の書籍で見つかるのは、「経営者の成功物語かコンサルティングファームなどが提唱する方法論に関するもので、当事者目線の資料がない」(髙橋氏)。そこでJNSAが2021年1月に発行したのが『CISOハンドブック─業務執行のための情報セキュリティ実践ガイド』である。「CISOが業務執行する際に役立つ資料として、CISOの業務を網羅することを目的にした」(同)という。
CISO支援ワーキンググループ内からは、「実務の中で具体的に、どう使えば良いのかが分からないという声が多数聞かれた」と髙橋氏は明かす。その声に応えるために髙橋氏が2023年1月に上梓したのが『CISOのための情報セキュリティ戦略~危機から逆算して攻略せよ』だ。「計画の策定から検証、それを支えるコミュニケーションまで具体的なシナリオを提供している」と高橋氏は話す。
情報セキュリティにも事業視点を持ち込むことが不可欠
同書を基に高橋氏は、CISOが活躍するために押さえておくべきキーワードをいくつか挙げる。(1)専門用語、(2)財務諸表、(3)情報セキュリティマネジメントである。
(1)専門用語
情報セキュリティを語るうえで、専門用語の問題は大きな課題の1つである。高橋氏は、「専門性の高い人ほど正確な用語を使おうとしてしまい、専門外の人には伝わりづらくなる」と指摘する。
例えば脆弱性に問題がある場合、専門家は「ソフトウェアに脆弱性があり、深刻です」などと表現する。だが、これは「ストーキング行為に使われる可能性がある」「システムが止まり、売り上げが立たなくなるかもしれない」といった表現に代えて伝えることが重要になる。
(2)財務諸表
情報セキュリティに関する資産を「財務諸表上でも見ていくことが大事だ」と髙橋氏は話す(図1)。従来の情報セキュリティは、「情報資産としてのITの特別損失をいかに最小化するかというITセキュリティリスクの文脈で語られてきた。だがITが事業基盤になりつつある今、売上高や利益への貢献・影響など、成功要因としてセキュリティを位置付ける視点が必要になる」(同)とする。
その際に活用できるのが「バランスト・スコア・カード(BSC)」だという。(1)財務、(2)顧客、(3)内部、(4)学習と成長の4つの視点から、情報セキュリティの関わるリスクをマッピングし情報セキュリティを考える。
例えば、顧客の視点では付加価値としてのセキュリティというアプローチが、内部の視点ではセキュリティ対策の自動化やテンプレート化が、学習と成長の視点からマチュリティレベルの向上が、それぞれ考えられる。「これらの視点を持ち込むことで、事業軸での情報セキュリティを考えられる」と髙橋氏は強調する。
(3)情報セキュリティマネジメント
情報セキュリティマネジメントでは、要求事項と規範、リスク・脅威、評価とモニタリングの視点が強調される。だが、重要なのは「事業・経営の視点を加えて検証することだ」と高橋氏は話す(図2)。加えて、レイヤーに別けて計測対象を考えること必要があるともいう。「管理者や従業員など、それぞれの立ち位置によって関心の対象が異なる」(同)からだ。
プロスポーツに例えれば、選手の関心事は自身の成績としての得点やアシスト、打率などにある。監督の視点では、シーズンのチームの成績や選手の評価などが関心の対象になる。チームオーナーの視点からは、チームの存続価値や収益の向上などが重要なテーマであり、経営計画や投資計画などが関心の主体になる。高橋氏は、「情報セキュリティに限らないが、どの視点で物事をとらえるのか明確にすることで活動がしやすくなる」と提言する。