近年の企業が最も恐れている事は、恐らく大手企業のみならず中小企業にも相次いでいる情報漏洩問題だろう。個人情報や機密情報をある程度保持している企業ならば、いつどんな悪意のあるサイバー攻撃を受けてしまうのかと常に注意を払っているはずだ。
そのような情報漏洩問題に対して企業に専門の対策を講じてくれる人材がCISO(Chief Information Security Officer:最高情報セキュリティ責任者)だ。今回の記事では、CISOの役割やその実態について具体的かつ明確にお伝えをしていく。
CISOの役割とは?
CISOは、企業の情報システムや情報セキュリティに関する管理・運用における責任を一手に担う存在だ。近年多発している企業の情報漏洩事件を契機に導入する企業も増えつつある。
CISO普及の背景
CISOの存在がより明確になった理由は、21世紀の情報社会におけるセキュリティリスクの急激な増大に対する対応策の必要性を、企業側が強く認識し始めた点にある。
私たちの日常生活がIoT(モノのインターネット化)によって、常にインターネットと接続されている社会と同様に、企業側もビジネスにおいて当たり前のようにスマートフォン等のデジタルデバイスを使用せざるを得ない。このように、高度情報化社会は企業にとっても新たなビジネスチャンスを狙える絶好の機会である反面、ビジネスに付随する情報セキュリティ対策をする必要性が生まれている。
このような状況において、企業の情報漏洩や顧客情報の流出等の防衛に限らず、情報セキュリティ対策を通じて企業それ自体の価値を守る為の存在が極めて必要となる。その企業価値を守る担い手となるのが、CISOである。
急速な進化に伴う危険性増加
特にCISOが大きな役割を果たすのは、最近多くのIT企業や大手企業が率先して導入しているビッグデータ運用や、クラウドサービスだ。
例えば、ビッグデータ運用とは私たちが日々使用している膨大なデータを収集し、分析をする事で多くの人たちが無意識に行っている行動原理や人の行動の癖のようなデータとして取得する事だ。ビッグデータを通じて企業売り上げの推移や、時節柄どんな商材が売れやすいのか等を過去のデータからの未来予測可能となる。このようなビッグデータ活用時におけるデータの安全性や機密性を十分に確保する為にもCISOは極めて重要な存在となる。
つまり、企業がより巨大な利益を獲得するためには、IoT(モノのインターネット化)による社会に適切に適合していく必要性がある。CISOによる企業の情報システムや情報セキュリティに関する運用と管理による活動が極めて重要だ。
企業の価値を高める存在
CISOがその他にどんな役割を求められているのかと言えば、それは企業の経営上の価値を高める事にある。
端的に言えば、企業の市場における価値を守り、かつその価値をさらに高める事が可能な経営上の視点が必要となるという事であり、CEOと同様に企業経営において極めて重要な役割を果たしている。
CISOに必要なスキルとは?
CISOに必要なスキルとしての例を下記に挙げてみよう。
- WAF/Web Application FireWall(ウェブアプリケーションファイヤウォール)に関する知識や具体的な活用スキル
- 不正侵入検知・防御(IPS・IDS)ツール等の情報セキュリティ製品に関する知識や具体的な活用スキル
企業の情報セキュリティに対する大きな権限を持っている為に、各企業が必要とする情報セキュリティ対策が、どのようなセキュリティ製品を活用する事が適切なのかを判断する必要がある。
経理面での視点も持ち合わせていること
多くの場合、企業はサイバー犯罪等の情報セキュリティに対して使用可能な予算が限られている側面がある為、最大の効果を得る以上に決められた予算内で情報セキュリティ対策をしなければならない。
この大きな制約のある中での意思決定を適切に行うスキルは、概して情報技術や情報セキュリティに対する深い見識や知見、そして経験が必要となる。
豊富な人脈も必要
また、企業に降りかかるサイバー犯罪は、常に想定されている既知のサイバー攻撃だけではなく、未知の攻撃である可能性もあり、情報セキュリティに対する不備を狙われた結果、大きな損害を被る可能性がある。
そのような場合、CISOが持ち合わせている社内外を問わない豊富な人脈がある事も求められるスキルとなる。
常に最新の情報を得ようとする姿勢
また、最新のサイバー攻撃に対して対応可能なように、常に学習を続ける意識のあるスキルを持つCISOとなる必要性もあるだろう。概してIT分野における技術は常に進化をし続けており、一年前の技術が既に使われなくなっているケースは往々にしてあり得る。
だからこそ、情報セキュリティに関する理解を常に深めていきながら、研鑽を怠らない姿勢を持つプロフェッショナルな意識も必須となるスキルだ。
CISO(最高情報セキュリティ責任者)に必要となるスキルまとめ
- 情報セキュリティ製品を十分に活用するスキル
- 情報セキュリティ製品を適切に選択するスキル
- 限られた情報セキュリティ対策予算の中で最大限の効果を得るスキル
- 社内外を問わない豊富な人脈(対外的なコミュニケーションスキルとも言い換えられる)
- 常に最新の情報セキュリティに関する知識を獲得していくスキル
今後の活躍の場は?
CISOが今後活躍可能なのは、大手企業、中小企業、そして公的機関等の様々な場所となる。
セキュリティ対策が不十分な日本
事実として、大手企業は自社にCISOを用意する事が可能だが、実に日本の半数以上の企業は未だに情報セキュリティ対策を行えていない側面がある。
今後さらに高度情報化社会へと発展していく現代において、情報セキュリティ対策を行わずにいるという事は、パスワードを設定せずにいる機密ファイルのようなモノだ。顧客情報や企業の機密情報は極めて重要なデータであり、このようなデータを対策無しに放置している事があるようなら、いつか情報漏洩や企業データ改ざんの事件に巻き込まれる。
このような状況下において、企業価値を守りながら、かつ価値を高めていけるようにする為にもCISOの存在は極めて重要だ。
CISOの活躍の場は拡大中
例えば、最近ではCISO(最高情報セキュリティ責任者)を各企業にレンタルしてくれる企業も現れており、企業に即した情報セキュリティ対策を検討してくれる。
端的に言ってCISOの活躍の場は大きく広がりを見せている。だが、さらなる存在感を獲得する為にも各企業は既知のリスクだけではなく、未知のリスクに対しても適切なマネジメントをしていく必要性がある。多くの企業が現時点で想定しているリスク以上に、情報セキュリティの穴を狙われたサイバー犯罪の未知のリスクに対する対策の価値を見出したなら、さらなる活躍の場がCISOに現れるだろう。
つまり、CISOの活躍可能な場は多く存在しているが、端的に言えば重要な情報を持つ企業がある限り、常に求められる人材である。
まとめ
情報セキュリティ対策を講じている企業があるなら、まずは専門家であるCISOが重要な存在である事を再認識すると良いだろう。
企業の保持している企業情報や機密情報は決して外部に流出して良いモノではないからこそ、安全に扱う為の方法を全面的に講じてくれる存在が必要不可欠となる。今後より安全にデータを扱っていく事が企業に求められ、かつそうした企業態度が市場からの価値向上にも伝わるはずだ。