常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け 「CISO」の意味
「CISO」とは、「Chief Information Security Officer」の略で、組織の情報セキュリティ管理における最高責任者のこと。最高経営責任者の「CEO(Chief Executive Officer)」や最高執行責任者の「COO(Chief Operating Officer又はChief Operations Officer)」、最高財務責任者の「CFO(Chief Financial Officer)」などと並んで使用される企業の役職の一つであり、システム上のセキュリティ対策や機密情報の管理など情報セキュリティ全般に責任を持つ。具体的な役割として、以下が挙げられる。
・組織の情報セキュリティポリシーの策定
・企業内システムのセキュリティ施策の策定
・機密情報、個人情報の管理規定策定と運用
・セキュリティ監査の統括
・対サイバー犯罪のセキュリティインシデント管理
組織における情報システムの最高責任者といえば「CIO(Chief Information Officer)」であるが、CISOがCIOと異なるのはその役割が情報セキュリティ管理に特化していることである。CIOは情報システム全般に関する最高責任者であり、その任務としてIT資産の管理と業務最適化、ITによる経営効率化、IT投資計画策定などを行う。CIOとCISOに上下関係は基本的に無く、業務で重複する部分はフラットに連携を行うケースが多い。経営戦略に沿って情報戦略を立てるCIOは、『IT資産を使ってどのように事業貢献するか』というのが主な役割で、いわば“攻めのIT”を担う。翻ってCISOは“守りのIT”の役割を担う。また、セキュアな組織作りを行うこともCISOの役割の一つで、システム上でのセキュリティ対策だけでなく、機密情報などの重要情報の管理やインシデントが起きた際の対応に関しても責任を負う。具体的には、管理規定による厳重な情報保護や、社員へのセキュリティ教育、インシデント管理体制の整備などである。
こうした組織作りの面からしても、経営資源を効果的に使うためには経営層との連携が欠かせない。近年サイバー犯罪が増加する中で企業側も相応のセキュリティ対策を求められている。情シス部門任せや現場レベルの対策ではできることに限りがあり、事業全体を通してリスクの最小化を行うことができない。そこでCISOに求められるのが経営視点とセキュリティ対策をつなぐことだ。
しかしながら、2018年実施のNRIセキュアテクノロジーズによる企業の情報セキュリティ実態の調査によると、経営層がCISOに就任している企業の割合が海外4か国(アメリカ、イギリス、オーストラリア、シンガポール)では約70%であることに対し、日本では約35%にとどまっていることがわかったという。IPAの「CISO等セキュリティ推進者の経営・事業に関する役割調査」においても、日本企業においてCISOが経営・事業への役割を担うことが期待されているにもかかわらず、実行する権限がないなどの理由で実際にはその役割を果たし切れていない実態が報告されている。
より効果的で安全な事業展開を助けるため、CISOには現場レベルでのセキュリティ対策の実行だけでなくセキュリティリスクを踏まえた事業戦略や経営への影響など、経営に関わる役割を求められている。近年のCISOの広がりは、情シス部門まかせのセキュリティから、経営層と連携したセキュリティ対策への変遷の表れでもある。
二段目 ITが苦手な経営者向け
とあるITベンチャー企業の社長が、ともに企業したCIOの志尊さんと何やら相談中。
社長:ちょっと聞いたよ。うちの薪自動宅配サービスってさ、すごいサイバー攻撃を受けているんだって?
志尊さん:そうなんだよ。先月あたりからか、うちのWebページへの攻撃数が増えているんだ。システム侵入を試みた形跡もあったりしてさ。セキュリティ対策にはもう少し力を入れないといけないかも。
社長:そうだな、契約者さんの個人情報もあるからしっかり守らないとな。個人情報といえばこの前、事務の野島さんが間違えて配送業者さんに契約者さんの支払い情報入りのリストを渡しちゃったんだ。口座番号は入ってなかったからまだよかったけど、誰が銀行振り込みで誰が引き落としとかがばっちり載っててさ。もう胃が痛いよ・・・。
志尊さん:個人情報は業者と共有しなきゃいけない情報もあるからね。売上が増えて従業員もだいぶ増えてきたことだし、情報出力の自動化も考えてもう少しシステム強化しようか。
社長:システム強化もいいけど、もっとセキュリティを強化したいと思ってるんだ。このご時世、個人情報漏えいなんて命とりだからね。
志尊さん:そうだな。じゃあシステム強化より、セキュリティ対策部を作るか。
社長:なんかいい案ある?
志尊さん:セキュリティ対策に特化した部門を持つ企業もあるからね。まあ、実態はいろいろな部署の人が所属するっていう体制になっていたりするけど。そういう部門で、システム上のセキュリティ対策に加え、なにかセキュリティ事案が起きた時の対応や日頃のセキュリティ監査、それに君の気になっている個人情報の取り扱いについての管理規定なんかも作ったりする。
社長:求めてたのはそういうのだよ。今までシステムのことは志尊さんに全部まかせていたね。
志尊さん:その中でセキュリティ対策に関してもやっていたけど、セキュリティに強い体制作りっていうのはシステムだけじゃできないからね。個人情報の取り扱いについては創立メンバーで話し合って決めたけど、この機会にもう一度見直してみるのもいいな。
社長:そうだね。じゃあセキュリティ部を作ろう。志尊さん、トップになってくれる?
志尊さん:いいよ。システム部の方は、もう下に任せても大丈夫だろうし。こういうセキュリティ対策の責任者って、「CIO」じゃなくて「CISO」っていうんだよ。
社長:よし、決まり!じゃあCISOとして、セキュリティ対策をしっかり見直してくれ!予算はちょっとCFOに相談してこよう!
三段目 小学生向け
皆さんの小学校では、新聞係や生き物係などのいろいろな「係」があるでしょう。きっと皆さんも何かしらの係について、係のお仕事をしていますよね。さて、皆さんのクラスでは「窓係」なんていう係はありませんか?体育の授業や理科室への移動のとき教室が空になってしまうので、防犯のために窓のかぎをしめたりする係です。「窓係」は、係の仕事が楽なのでもしかしたら人気のある係かもしれません。でも、誰もいない教室に知らない人が入ってきたり、空の教室で誰かがこっそりどろぼうをしたりしたら困ります。この係には皆さんの安全を守る大事な役割があるのです。
いろいろな会社にも、窓係のように安全を守るための係があります。会社では「係」ではなく「部門」「部署」といいます。もちろん窓をしめるだけのお仕事ではありません。会社全体の安全を守るためにさまざまなお仕事をします。会社では、窓からの侵入だけではなくコンピューターを通してのコンピューターウイルスの侵入なども考えられます。会社の安全係はコンピューターにもかぎをかけたり、会社の中が安全かどうかを毎日確認したりします。企業秘密の情報が盗まれないように安全な場所に保管して、出し入れのたびにチェックしたりもします。
このように会社の安全係はお仕事がたくさんあるので、たくさんの人が必要です。たくさんの人がいたら、みんながきちんと仕事をできているか確かめないといけませんね。もしかしたら仕事が全然終わらない人の横で、早く仕事が終わって遊んでしまっている人がいるかもしれません。仕事に必要な道具がなくて何もできない人もいるかもしれません。安全のために必要な仕事ではないことをしている人もいるでしょう。そういうときのために、みんなの仕事をまとめるリーダーが必要です。リーダーはそもそも安全係にどんな仕事が必要かをきちんと決めて、担当の人を決めます。そして、みんなが安全係の仕事をちゃんとできているかを確認します。そうしてそのリーダーを「CISO(シーアイエスオー)」といいます。会社では、安全を確認することがとても大切なので、CISOは社長の次の次くらいに偉い人がなることもあるのですよ。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 星野 美緒】