日本企業に有効?「チームでCISOの機能を果たす」とは
では、日本企業の経営層、あるいはCISOがとるべきアクションとは何か。佐々木氏は1つ目に、「CISOの位置づけを高め、取締役会に関与させることが重要だ」と述べた。日本はCISOを設置している組織でも、取締役会に参加するような役員クラスには位置づけられていないという組織が多い。セキュリティ責任者が役員なのか、部長なのかで、やはり経営に与える影響力も変化してくるだろう。
2つ目に佐々木氏は、「情報セキュリティリスクを経営課題として可視化する」ことを推奨した。近年、日本でもセキュリティを経営課題として認識する企業が増えてきたが、まだ企業規模やリーダー人材の有無によって偏りがある。
3つ目は、「セキュリティ投資のROIを明確にし、対策推進に必要な予算を確保する」こと。これは取締役会に対する費用対効果の説明とも取れる。投資をしなければ、どれほどの損害につながるのか。想定される損害リスクに対し、どれくらいの保守費用までを投資と捉えるのか。丁寧に説明することで、セキュリティと経営のギャップ解消にもつながるだろうと佐々木氏は主張する。
4つ目は、「AIなどの最新技術を活用した情報セキュリティ対策の強化」だ。特にAIの登場によって、人材不足の状況下でも様々なセキュリティ業務を自動化・効率化し、運用を改善できるようなソリューションが次々と登場している。攻撃者が新たな技術を用いて攻撃を行うのと同じように、防御側も最新テクノロジーをキャッチアップしていく必要があるだろう。
そして5つ目に挙げられたのが、「情報セキュリティ人材の確保・育成」だ。セキュリティ人材は世界中で売り手市場だが、日本では特に不足が顕著である。そもそも経営計画や人事計画において、セキュリティ人材の数や採用枠は十分に確保できているだろうか。IT担当者や別部門の中から、セキュリティ人材を育てるのもよいだろう。いずれにせよ、人材確保には一層のコスト(投資)をかけなければ、世界との溝は埋まっていかないのではと佐々木氏は警鐘を鳴らす。
最後に、ここまで述べてきたような取り組みを進めていくうえで、佐々木氏は「『チーム』でCISOの機能を果たすことが、日本企業のセキュリティ強化には有効なのではないか」と述べた。その理由として、同氏は「そもそもCISOの役割と責務は大きく、単独での遂行は容易ではない」ことと、「日本にはセキュリティに精通した経営層が多くない」ことを挙げた。
社内の既存人材のみでは満たせない機能があるのだとしたら、外部の専門家を活用することも現実的な解決策だ。その場合も、セキュリティに精通する人とそうでない人が共に巻き込み合って協業する体制を作り上げていくことが重要だという。
