F-Secure(以下、エフセキュア)は、同社が2020年7月~9月にかけて欧米のCISO(最高情報セキュリティ担当者)28名を対象に実施した、CISOの役割および意識に関する調査をまとめたレポートの第1弾を発行した。
従来、CISOには技術的な役割が優先して求められ、それ以外のスキルは二の次として扱われてきたという。しかし、今回の調査ために欧米各国CISOへの綿密な取材を実施した結果、この発想は急速に時代遅れなものになりつつあることがわかったとしている。
調査に対する回答者一人である、米国の電力・公益事業持ち株会社であるAES CorporationでCISO兼バイスプレジデントを務めるScott Goodhart(スコット・グッドハート)氏は次のように述べている。
「企業にとって、サイバーセキュリティのリスクに関連する技術的な側面は、他のビジネスリスクと同様に扱われ始めています。一旦攻撃を受ければダウンタイムや恐喝、知的財産の盗難などで数千ドル、数十万ドルの損害を被る可能性があり、それを単なるITやサイバーセキュリティの問題としてだけ扱うのは意味がありません。技術のみが売りのCISOは過去のものとなり、企業にとってより広範で包括的な方法でリスクに対処する上で、頼られる存在となっているのです。」
取材に応じたCISOの3分の2は、社内外の様々な人々について理解し、共感し、交渉する上で、IQ(知能指数)よりもEQ(感情指数)が果たす役割がますます重要になっていると考えていた。
また、回答を寄せたCISOの4分の3は、純粋にネットワーク上のリスクに焦点を当てていたそれまでの役割から、現在導入しているテクノロジーのあらゆる要素をカバーする役割へと変化したと回答しているが、その変化はヘルスケア、製造業、小売業におけるCISOに最も顕著に現れているという。
同社のMDR(マネージドによる検知と対応サービス)部門担当エグゼクティブバイスプレジデントであるTim Orchard(ティム・オーチャード)氏はCISOに求められる役割の変化について、「現在、CISOは様々な課題を理解しリスクを軽減し、その情報が技術的なものであるかどうかに関わらず、取締役会、従業員、外部のセキュリティの専門家、規制当局、さらには法執行機関まで、すべての人々に伝えることが求められています。『ソフト』スキルに頼ることへのシフトは数年前から始まっています。しかし、新型コロナウィルスのパンデミックにより、企業内外の人々と積極的に連携することでCISOがいかに企業のリーダーとなり得るかが明らかになったのです」とコメントしている。
【関連記事】
・F-Secure、加賀FEIとセキュリティ診断におけるパートナーシップを締結
・エフセキュアの新CEOにヒンティッカ氏が就任 元Comptel、Nokia出身
・エフセキュア、一部メーカーのAndroidスマホに脆弱性を発見、すでに対策済み
