SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2021レポート

CISOの役割の鍵は「プロスポーツ」にあり “視点と実務”をJNSA CISO支援WGリーダーが示す

時代が求める業務執行役としてのCISO 情報セキュリティからサイバーセキュリティへ

 セキュリティ担当者は日々の仕事で様々な悩みに直面する。9月15日に行われたオンラインイベント「Security Online Day 2021」では、日本ネットワークセキュリティ協会(JNSA)CISO支援WGリーダーを務めながら、Preferred Networksで執行役員 最高セキュリティ責任者として実務に携わる高橋正和氏が登壇。CISOが経営陣の一員として振る舞うために必要な視点とその実務について語った。

高橋 正和氏

高橋 正和(たかはし まさかず)氏
日本ネットワークセキュリティ協会 副会長・CISO支援WGリーダー
株式会社Preferred Networks 執行役員 最高セキュリティ責任者
基本ソフトの開発などを経て1999年インターネット セキュリティシステムズ(ISS)に入社。セキュリティコンサルティングの立上げ、CIO、CTOを務める。2006年にマイクロソフト日本マイクロソフト Chief Security Advisorに就任。2017年より現職。著書に、「CISOハンドブック~業務執行のための情報セキュリティ実践ガイド」(共著)技術評論社 2001年等。日本ネットワークセキュリティ協会 副会長、日本セキュリティマネジメント学会 執行理事

なぜかみ合わない? 経営会議での会話

 高橋氏がリーダーを務めるJNSA CISO支援ワーキンググループは、2021年1月に『CISOハンドブック―業務執行のための情報セキュリティ実践ガイド』(技術評論社)を出版した。その内容は2018年にJNSAがオンラインで公開した『CISOハンドブック』を再編したもので、経営陣の一員としてセキュリティの実務に携わった経験を通して、知っておくべきこと考えたことをまとめたという。

 事業の現場とセキュリティ担当者の考え方は、それぞれが車でいうところのアクセルとブレーキにしばしば喩えられる。経営会議では、かみ合わない会話に悩まされているCISOも多いことだろう。その点について高橋氏は、「ITセキュリティは特別損失を防ぐためのものだが、事業基盤としてのITに要求されるセキュリティは違う」と訴える。具体的には、売上や利益への貢献を説明するべきなのだという。とはいえ、そんなことができるのかと考える担当者も多いだろう。

視点の違いから齟齬が生じる
視点の違いから齟齬が生じる
[画像クリックで拡大]

 この疑問に答える形で、『CISOハンドブック』は、「バランスト・スコアカード」(BSC)で事業戦略を立てる手法を取り上げた。BSCとは、「財務の視点」「顧客の視点」「内部の視点」「学習と成長の視点」の4つの視点ごとに目標と成功要因を抽出し、それぞれの因果関係を整理するものである。4つの視点で全体を見ることで、事業に負の影響を与えるITリスクの最小化という目標だけに偏らなくなる。自社のセキュリティ対策のあるべき姿が見えてくれば、“セキュリティ対策が付加価値”になるような提案をしていくこともできそうだ。

4つの視点で因果関係を整理
4つの視点で因果関係を整理
[画像クリックで拡大]

 一方、セキュリティの専門家同士で話していても、かみ合わないこともある。アンチウイルスソフトを入れるのが先か、それともID管理システムを入れるのが先かなどの議論が典型例だ。それは、おそらくレイヤーの意識が不足しているためというのが高橋氏の見立てだ。

まずは、各レイヤーにおける役割と対策を把握する
まずは、各レイヤーにおける役割と対策を把握する
[画像クリックで拡大]

 ISMS(情報セキュリティマネジメントシステム)[※1]のような国際標準やガイドラインに基づいた対策を考えるときの課題は、チェックリストとしてのセキュリティ対策になりやすいことだ。経営が何を目指していて、何をリスクとしているかを理解した上でセキュリティ対策を考えなければ、見かけは完璧でも有効性が低い対策になりかねない。

[※1] 参考:情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは

次のページ
重要になる有効性の視点

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2021レポート連載記事一覧

もっと読む

この記事の著者

冨永 裕子(トミナガ ユウコ)

 IT調査会社(ITR、IDC Japan)で、エンタープライズIT分野におけるソフトウエアの調査プロジェクトを担当する。その傍らITコンサルタントとして、ユーザー企業を対象としたITマネジメント領域を中心としたコンサルティングプロジェクトを経験。現在はフリーランスのITアナリスト兼ITコンサルタン...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15008 2021/10/22 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング