【情シス基礎知識】CISOって何する人?
企業での役職を表す「CEO」「COO」「CFO」などは、一般的にも定着してきた感はある。では「CISO」とはどういう役職なのだろうか?企業の中でどのような役割を担い、どんな業務をこなすのか。最近聞かれるようになったCIOやCDOとの違いと、海外との比較した国内事情を解説する。
この記事の目次
CISOって何する人?
米の巨大IT企業「GAFA(Google、Apple、Facebook、Amazon)」の一挙手一投足が注目され、国内でもよく関連ニュースが報じられている。それらのニュースでよく聞くようになったのが「CEO」「CFO」「COO」などの役職名の略語である。最高経営責任者を表す「CEO(Chief Executive Officer)」などは国内の企業でも使われているため、もはや耳慣れた単語と言っていいであろう。
今回のテーマは「CISO(Chief Information Security Officer)」である。「CISO」とは、企業の情報セキュリティ最高責任者のことであるが、さて、このCISOがどんな役割を持っているのか解説する。
企業の情報セキュリティを担うCISO
CISOの役割とは、企業の情報セキュリティに関する一切の事項を統括することだ。システム上のセキュリティ対策や機密情報の管理など情報セキュリティ全般に責任を持ち、セキュリティリスクを考慮した事業最適化のため、経営層との連携も担う。具体的な役割として、以下が挙げられる。
・組織の情報セキュリティポリシーの策定:対象とする脅威、保護対象、行動指針などのセキュリティ基本指針を決める。
・企業内システムのセキュリティ施策の策定:システムのセキュリティレベルを定め、必要な体制を構築する。
・機密情報、個人情報の管理規定策定と運用:情報をどのように管理し運用していくか規約を定める。
・セキュリティ監査の統括:各規約が実際に守られているか、インシデントが発生していないかを確認する。
・対サイバー犯罪のセキュリティインシデント管理:インシデントが起きた場合の体制管理や実際の応対を行う。
CISOが統括するのは、情報セキュリティ対策といってもファイヤウォール設置やデータ暗号化などのシステム上のセキュリティ施策のみではない。ルール作りや教育なども含まれ、セキュリティに強い組織作りを行うこともその一つである。機密情報や個人情報などの情報を適切に管理するための規定を作ったり、その監査や社員へのセキュリティ教育、セキュリティインシデント窓口の設置、実際のインシデント対応の統括も行う。
こうしたCISOが登場し活躍する背景には、情報化社会が成熟してきたことが関連している。社会全体のIT化が進み、IT企業のみならずさまざまな業種の企業がサイバー犯罪の脅威にさらされている今、情報セキュリティの重要性が一層高まっている。セキュリティリスクを減らし安全な事業運営を行うため、経営戦略とセキュリティ戦略を連携することが求められている。従来のようなIT部門の現場レベルで行う対策ではできることに限りがあり、事業全体を通してリスクの最小化を行うことができなかった。そこでCISOに求められたのが経営視点とセキュリティ対策をつなぐことだった。
似て非なるCIO、CDOはCISOとどう違うのか
デジタルトランスフォーメーションが台頭し、CISOのみならず企業組織が設置する情報技術に関する役職が増えている。CISOの他にCIO、CDOが挙げられる。ここでは各役職の違いを見てみたい。
CIO(Chief Information Officer)は国内でもやや定着してきた感のある役職だろう。CIOは情報技術における最高責任者のことで、企業内のIT資産の管理や情報システム運用に関する責任を持ち、経営戦略に基づきIT戦略を策定する役割を持つ。CIOに求められるのは、情報技術への深い知識、ワークフローの理解、経営視点でのIT戦略立案を行うことのできる力である。
CISOとCIOの違いは、CIOがIT技術を使っていかに社内の業務を最適化するかということがミッションであるのに対し、CISOはセキュリティに特化した役割を持つということだ。
この他に「CDO」という役職がある。「CDO」には「Chief Digital Officer」と「Chief Data Officer」の二種類がある。
CDO(Chief Digital Officer)とは、最高デジタル責任者といい、ITを活用した製品やサービスの創造と推進を担う役職だ。CIOがもともとあった業務をIT化してワークフローを最適化するのとは異なり、こちらはITを使った新しい製品を社会に生み出していく役割を持つ。そのためCDO(Chief Digital Officer)には、社会に価値のある製品を作るため、情報技術知識のほかマーケティング力やサービス創造を行うことが求められる。昨今のデジタルトランスフォーメーションの中で企業が生き残るために必要な戦略を担って登場してきた役職である。
CDO(Chief Data Officer)は最高データ責任者といい、ビッグデータやAIを使い業務改善やサービス向上を推進する役割を持つ。CDO(Chief Digital Officer)よりもデータ活用に特化した役目だが、達成すべきミッションが似ているため同一の役職としているケースもあるようだ。
こうした役職で、基本的にはCEO直下にCIO、CISO、CDOが並ぶことが多いようだが、その上下関係が定義として決められているわけではない。CIOの下にCISOが配置されていたり実際は同じ人物が兼務していたりと、組織によって体制は異なる。企業は、自社に合った体制を模索しながら、デジタルトランスフォーメーションに対応するため日々変革に取り組んでいるのである。
国内企業におけるCISOの取り組み
元来CISOはアメリカの法人企業での役職名であった。しかし上述のような事情から世界各国にもその名前で広がり、もちろん国内企業でもCISOの設置が進んでいる。ではCISOの日本での活動実態はどのようなものだろうか。
各国のCISOの設置状況
IPAの実施した「企業のCISOやCSIRTに関する実態調査2017」という調査がある。これに、日本、アメリカ、欧州(イギリス、フランス、ドイツ)の企業へのアンケートによって得られた各国の中規模以上の企業におけるCISOの設置状況や果たす役割の実態が報告されている。
まずCISOの設置状況についての項目を見てみると、兼任/専任を問わずCISOを設置していた国内企業は約62%であったとの結果が報告されている。しかしアメリカでは95%、欧州でも84%にも上る。専任のCISOを設置しているかの調査では、アメリカと欧州は7割近い数値であるのに対し、日本は3割に満たなかった。
また、CISOに就任している人の権限について、アメリカでは経営層が就任している割合が最も高く、欧州でも経営層直下が最も高い。日本では、非経営層の情シス部門のトップの割合が最も高かった。
さらにCISOの前身の所属部門は、アメリカと欧州ではセキュリティ管理専門が多いのに対し、日本では情シス部門が多い。
CISOが実際に担う責任範囲も、アメリカと欧州は企業の業務システムや自社の提供する製品・サービスにおける割合が比較的高いのに対し、日本では社内システムの割合が突出している。
これらから、日本ではCISOがまだ情シス部門の中の位置づけにすぎないという実態がうかがえる。我らがCISOは、経営視点とセキュリティ対策をつなぐという役割は果たせているのだろうか。
事業貢献できているCISOが少ない?
次に、企業の求めるCISOの役割について、IPAの「CISO等セキュリティ推進者の経営・事業に関する役割調査」において調査された結果を見てみたい。こちらは、2018年に発表された、国内企業でCISOを設置している企業へ行われた調査だ。
このアンケートによる調査では、経営層がCISOに期待している役割として、経営視点での事業貢献を挙げた割合が約75%に上っている。
しかしながら、実態としてCISOの役割では経営・事業貢献に関する項目を挙げた割合は半数以下であった。図では、「コーポレートガバナンス」「事業貢献」が経営面での役割を指す。日本のCISOは、実際には事業面での貢献にまでは至っていないのが現状ということだろう。
では、日本のCISOが経営・事業貢献できないでいる原因とは何だろうか。今回取り上げたIPA調査結果から、「CISOの権限不足」と「経営視点でのリスクマネジメントスキルの不足」が一因として挙げられる。
前述したように、日本企業においてCISOは技術部門に閉じているケースが多い。そのため、企業の事業全体にかかわるセキュリティ改革を行うような権限がない。セキュリティリスクを踏まえて事業レベルでの改善を行うには経営層と連携することが重要であるため、CISOが経営層と同等の権限を持つか、経営層と密なコミュニケーションをとることが必要となる。
また、情シス出身のCISOが経営視点を持てるようになるための準備も必要であろう。経営視点を持つために必要なのは、自社事業に関する深い理解と、リスクマネジメントスキルや組織マネジメントスキルのトレーニングである。
まとめ
企業の情報セキュリティを統括するCISO。CISOは企業のセキュリティ対策を引き受け、リスクマネジメントを行う役割を持っている。そして、今後のデジタル化社会において安全な事業展開を行うための経営戦略への関与も求められている。しかし、国内では経営層との連携という点にまだ課題が残っているようである。
【執筆:編集Gp 星野 美緒】