高橋 正和(たかはし まさかず)氏
日本ネットワークセキュリティ協会 副会長・CISO支援WGリーダー
株式会社Preferred Networks 執行役員 最高セキュリティ責任者
基本ソフトの開発などを経て1999年インターネット セキュリティシステムズ(ISS)に入社。セキュリティコンサルティングの立上げ、CIO、CTOを務める。2006年にマイクロソフト日本マイクロソフト Chief Security Advisorに就任。2017年より現職。著書に、「CISOハンドブック~業務執行のための情報セキュリティ実践ガイド」(共著)技術評論社 2001年等。日本ネットワークセキュリティ協会 副会長、日本セキュリティマネジメント学会 執行理事
なぜかみ合わない? 経営会議での会話
高橋氏がリーダーを務めるJNSA CISO支援ワーキンググループは、2021年1月に『CISOハンドブック―業務執行のための情報セキュリティ実践ガイド』(技術評論社)を出版した。その内容は2018年にJNSAがオンラインで公開した『CISOハンドブック』を再編したもので、経営陣の一員としてセキュリティの実務に携わった経験を通して、知っておくべきこと考えたことをまとめたという。
事業の現場とセキュリティ担当者の考え方は、それぞれが車でいうところのアクセルとブレーキにしばしば喩えられる。経営会議では、かみ合わない会話に悩まされているCISOも多いことだろう。その点について高橋氏は、「ITセキュリティは特別損失を防ぐためのものだが、事業基盤としてのITに要求されるセキュリティは違う」と訴える。具体的には、売上や利益への貢献を説明するべきなのだという。とはいえ、そんなことができるのかと考える担当者も多いだろう。
[画像クリックで拡大]
この疑問に答える形で、『CISOハンドブック』は、「バランスト・スコアカード」(BSC)で事業戦略を立てる手法を取り上げた。BSCとは、「財務の視点」「顧客の視点」「内部の視点」「学習と成長の視点」の4つの視点ごとに目標と成功要因を抽出し、それぞれの因果関係を整理するものである。4つの視点で全体を見ることで、事業に負の影響を与えるITリスクの最小化という目標だけに偏らなくなる。自社のセキュリティ対策のあるべき姿が見えてくれば、“セキュリティ対策が付加価値”になるような提案をしていくこともできそうだ。
[画像クリックで拡大]
一方、セキュリティの専門家同士で話していても、かみ合わないこともある。アンチウイルスソフトを入れるのが先か、それともID管理システムを入れるのが先かなどの議論が典型例だ。それは、おそらくレイヤーの意識が不足しているためというのが高橋氏の見立てだ。
[画像クリックで拡大]
ISMS(情報セキュリティマネジメントシステム)[※1]のような国際標準やガイドラインに基づいた対策を考えるときの課題は、チェックリストとしてのセキュリティ対策になりやすいことだ。経営が何を目指していて、何をリスクとしているかを理解した上でセキュリティ対策を考えなければ、見かけは完璧でも有効性が低い対策になりかねない。
[※1] 参考:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは」
