EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

CISOの役割の鍵は「プロスポーツ」にあり “視点と実務”をJNSA CISO支援WGリーダーが示す 時代が求める業務執行役としてのCISO 情報セキュリティからサイバーセキュリティへ

edited by Security Online   2021/10/22 09:00

 セキュリティ担当者は日々の仕事で様々な悩みに直面する。9月15日に行われたオンラインイベント「Security Online Day 2021」では、日本ネットワークセキュリティ協会(JNSA)CISO支援WGリーダーを務めながら、Preferred Networksで執行役員 最高セキュリティ責任者として実務に携わる高橋正和氏が登壇。CISOが経営陣の一員として振る舞うために必要な視点とその実務について語った。

高橋 正和氏

高橋 正和(たかはし まさかず)氏
日本ネットワークセキュリティ協会 副会長・CISO支援WGリーダー
株式会社Preferred Networks 執行役員 最高セキュリティ責任者
基本ソフトの開発などを経て1999年インターネット セキュリティシステムズ(ISS)に入社。セキュリティコンサルティングの立上げ、CIO、CTOを務める。2006年にマイクロソフト日本マイクロソフト Chief Security Advisorに就任。2017年より現職。著書に、「CISOハンドブック~業務執行のための情報セキュリティ実践ガイド」(共著)技術評論社 2001年等。日本ネットワークセキュリティ協会 副会長、日本セキュリティマネジメント学会 執行理事

なぜかみ合わない? 経営会議での会話

 高橋氏がリーダーを務めるJNSA CISO支援ワーキンググループは、2021年1月に『CISOハンドブック―業務執行のための情報セキュリティ実践ガイド』(技術評論社)を出版した。その内容は2018年にJNSAがオンラインで公開した『CISOハンドブック』を再編したもので、経営陣の一員としてセキュリティの実務に携わった経験を通して、知っておくべきこと考えたことをまとめたという。

 事業の現場とセキュリティ担当者の考え方は、それぞれが車でいうところのアクセルとブレーキにしばしば喩えられる。経営会議では、かみ合わない会話に悩まされているCISOも多いことだろう。その点について高橋氏は、「ITセキュリティは特別損失を防ぐためのものだが、事業基盤としてのITに要求されるセキュリティは違う」と訴える。具体的には、売上や利益への貢献を説明するべきなのだという。とはいえ、そんなことができるのかと考える担当者も多いだろう。

視点の違いから齟齬が生じる
視点の違いから齟齬が生じる
[画像クリックで拡大]

 この疑問に答える形で、『CISOハンドブック』は、「バランスト・スコアカード」(BSC)で事業戦略を立てる手法を取り上げた。BSCとは、「財務の視点」「顧客の視点」「内部の視点」「学習と成長の視点」の4つの視点ごとに目標と成功要因を抽出し、それぞれの因果関係を整理するものである。4つの視点で全体を見ることで、事業に負の影響を与えるITリスクの最小化という目標だけに偏らなくなる。自社のセキュリティ対策のあるべき姿が見えてくれば、“セキュリティ対策が付加価値”になるような提案をしていくこともできそうだ。

4つの視点で因果関係を整理
4つの視点で因果関係を整理
[画像クリックで拡大]

 一方、セキュリティの専門家同士で話していても、かみ合わないこともある。アンチウイルスソフトを入れるのが先か、それともID管理システムを入れるのが先かなどの議論が典型例だ。それは、おそらくレイヤーの意識が不足しているためというのが高橋氏の見立てだ。

まずは、各レイヤーにおける役割と対策を把握する
まずは、各レイヤーにおける役割と対策を把握する
[画像クリックで拡大]

 ISMS(情報セキュリティマネジメントシステム)[※1]のような国際標準やガイドラインに基づいた対策を考えるときの課題は、チェックリストとしてのセキュリティ対策になりやすいことだ。経営が何を目指していて、何をリスクとしているかを理解した上でセキュリティ対策を考えなければ、見かけは完璧でも有効性が低い対策になりかねない。

[※1] 参考:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 冨永 裕子(トミナガ ユウコ)

     IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタントとして活動中。ビジネスとテクノロジーのギャップを埋めることに関心があり、現在はマーケティングテクノロジーを含む新興領域にフォーカスしている。

バックナンバー

連載:Security Online Day 2021レポート

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5