なぜCISOは求められるのか
(左から)Preferred Networks 高橋 正和氏、コインチェック 田中 朗氏
アスタリスク・リサーチ 岡田 良太郎氏、ラック 武田 一城氏
経済産業省による「サイバーセキュリティ経営ガイドライン」のバージョン1.0が公開されてから約5年が経過する中で、企業を取り巻く環境は大きな変化を遂げている。昨年からは、新型コロナウイルス感染症の影響もあり、自社に最適なセキュリティを模索している企業も増えたことだろう。
先が読めないニューノーマル時代を生き抜くためにも、セキュリティは欠かせないものである。その一方で、日本において認知度がまだ少ないといわれているのがCISO(Chief Information Security Officer)だ。企業・組織において、情報セキュリティ全般を統括するための役割を担うとされているが、具体的に求められている役割や目的のハードルは高いといえる。
こうした状況の中で、本年1月20日に『CISOハンドブック――業務執行のための情報セキュリティ実践ガイド』(技術評論社、JNSA CISO支援ワーキンググループ 著)が刊行された。
JNSA(日本ネットワークセキュリティ協会)は、2001年に設立されたネットワークセキュリティに関する業界団体で、現在253社が加盟している。日本における情報セキュリティの団体としては活動が長く、刊行された『CISOハンドブック』も元々は公開資料として公開されていた。他にも、情報漏えい事件に関する調査など幅広くセキュリティ関連の活動を行っている。
元々高橋氏は、サイバーセキュリティ経営ガイドラインが公表された際に、“セキュリティは経営の問題である”という命題そのものには賛成だったが、全体として“経営者がISMS(情報セキュリティマネジメントシステム)を理解すべきだ”と読めたという。そうではなく、セキュリティの担当者が経営陣の一員として活動することが大切なのではないかと思い、技術者が経営にタッチするためのヒントとなる本として筆を執った。このとき、幅広い知見を取り入れ、ディスカッションの場を作るという意味でCISOワーキンググループを立ち上げている。
では、そもそも日本においてCISOは、なぜ求められるようになったのだろうか。元々日本と海外の間では、CISOへの理解に差があった。アメリカや欧州といった地域においては、ジョブホッピングする人がいるほど地位は確立されている一方で、どのようにセキュリティを企業経営へ役立てるかという経営陣の観点で仕事をすることが、日本では少なかった。その状況下で、サイバーセキュリティ経営ガイドラインにおいて、“戦略マネジメント層”といわれている人たちが必要だと提唱されたように、徐々に企業経営にとってもサイバーリスク管理は重要だと認識されていき、日本でもCISOが求められるようになってきたという。
