updated on 2008.08.08

日本ITガバナンス協会


2008.8.08第3回 Opnion by 日本オラクル株式会社

日本オラクル株式会社 製品戦略統括本部 担当ディレクター 北野晴人,CISSP-ISSJP

期待されるCSO/CISOとは?

1.CSO/CISOとは何者か?

「情報セキュリティ就業者人口」とでも言うべき、情報セキュリティ分野で働く人の数は過去5-10年程度で劇的に増えている。近年そのキャリアパスを語る中で時折話題になるのがCSO(Chief Security Officer)またはCISO(Chief Information Security Officer)という役職いわゆる「最高情報セキュリティ責任者」ですが、CSOとはいったいどんな仕事をする人で、求められるスキルはどんなものかという点はまだ一般に広く理解されているとは言い難い。

CSOという言葉が登場したのは主に2001年、911テロ事件後の米国である。その後米では2003年に主要な企業のCSOを集めたGlobal Council of CSOsが発足したが、米国においてもCSOという役職をおいている企業はまだ多くはなく、日本でも少数にとどまっている。

2006年「情報セキュリティ政策会議」(議長:内閣官房長官)の下に設置された「人材育成・資格制度体系化専門委員会」の報告書 によれば企業の75%はCISOを設置している、と回答しているが実際はCIO、CPOなどと兼務しているケースが多く、専任のCSO/CISOがいる企業は7%程度と少数派である。CSO/CISOという名前でなくても「情報セキュリティに関する経営レベルの責任者がいる」という企業はあるが、本質的なセキュリティに関する責任を十分果たしているかという点においては疑問が多い。CSO/CISOの定義についてITGIから日本語版も公開されている「情報セキュリティガバナンス・取締役会と役員に対するガイダンス」 では以下のように述べている。

最高情報セキュリティ責任者(CISO):

「全ての組織には、この役職名であるかどうかは別にしてCISO がいる。情報セキュリティ部や情報セキュリティ部長が設置されている場合や、CISO が事実上CIO やCSO、CFO である場合や、また若干のケースでは、CEO と同一の場合もある。情報セキュリティに関する懸念の範囲は非常に広いため、要求される権限と責任を、最終的に最高レベルの役員あるいは執行役員が引き受けることは避けられない。不履行による法律上の責任は、命令構造を上へ上がっていく形で広がり、最終的には上級役員と取締役会がこれを引き受けることになる。これが認識できず適切なガバナンス構造を導入することができなかった場合は、上級役員自身に責任があり、これに付随して義務を負っていることに気づかない結果にもなりかねない。

さらにこのような状況では、多くの場合、組織の目標に対する有効なセキュリティアクティビティの整合がない結果となる。組織が情報に依存していること、さらにこれに対する脅威が増していることを、より多くの組織が理解し始めたため、賢明な経営者は情報セキュリティ責任者の地位を最高レベルの役職者あるいは役員にまで高めつつある。この地位が存在することを確保すると、この地位にある者に対して責任と権限、さらに必要とされる資源を割り当て、経営者と取締役会による健全な情報セキュリティガバナンスに対する意識や、この問題へのコミットメントがあることは明らかになる。」

また日本ではISMSとしておなじみのISO/IEC27001においても「5.経営陣の責任」として経営者のコミットメントが求められ、要求事項としてマネジメント・レビューがある。このようなことから、経営陣の中に、明示的な情報セキュリティ担当責任者が必要であることは管理フレームワークの違いに関わらず明らかになっている。

いっぽう現実を直視すれば、各企業・組織の業種・業態や社会的立場などに関係してCSO/CISOの仕事も変わってくるであろう。米国ではテロの影響か軍出身者のCSO/CISOが多いという統計があるかと思うと、弁護士が就任しているケースなどもあったりする。また通常企業のCSO/CISOは社内の情報セキュリティを推進する責任者であることが多いが、ソフトウエアベンダーについては製品そのもののセキュリティを担当する責任者である場合もある。例えば米オラクル社のCSO・マリーアン・デイビッドソンは米海軍出身で自社製品のセキュリティ責任者である。(社内情報システム部門のセキュリティや、オフィス警備など物理的セキュリティについては別の担当責任者がいる。)

このような状況をふまえて過去数年の経緯を振り返ると、CSO/CISOの一般的な役割とは以下のようなものと考えられる。

1) 社内の情報セキュリティの現状を把握し、適切なセキュリティ戦略を立案・計画する。
2) 自らリードしたセキュリティ戦略を企業全体の経営戦略に照らし合わせて整合性を取り、適切な投資と事業リスクのバランスを検討しつつ、経営陣の合意を得る。
3) 情報セキュリティを管理するためのフレームワーク、ポリシー、具体的対策・統制を策定し、リスクと優先順位に従って実施する。またそのコストと効果についても責任を負わなければならない。
4) 継続的な改善活動を含めPDCAサイクルを管理する。そのためには必要に応じて社内のセキュリティ状態を内部監査する必要がある。
5) 組織内のビジネスオーナーやビジネスの現場に対してセキュリティの必要性などを説明し、理解を得て協力を要請する。
6) 社会的な説明責任(CSR=Corporate Social Responsibilityの一部)を果たすために自らスポークスパーソンとなって情報発信を行う。

2.CSO/CISOに求められるもの

企業にとっては情報セキュリティを管理するためにどの程度の投資を行うのが適正か、という問題が常に頭痛の種であり、重要な課題である。この課題を解決するためには、適切なリスクアセスメントから導き出され、可視化された各種のリスクをあらゆる角度から評価することによって全体の優先順位を決めなければならない。また一連の情報セキュリティに関わる管理と投資は、企業の全社的リスク管理ERM(Enterprise Risk Management)の一部としても整合性を持って機能する必要がある。

このような企業全体のリスク管理のひとつとしてのセキュリティ管理を正しく行うため、その責任者であるCSO/CISOにはセキュリティ関連技術だけではなく法律、政府のガイドラインやISMSなどの情報セキュリティマネジメント、COBITのような管理フレームワーク、監査、リスク管理、危機管理などの広範な知識と経験が求められる。これを具体的に定義したケースとして日本では経済産業省情報セキュリティ教育研究会による「情報セキュリティ教育に関する調査報告書」 があり、情報セキュリティ対策実施責任者(CISO補佐)に対する教育カリキュラムとして【表1】に挙げるような項目を提案している。このカリキュラムで示されている項目は完全に十分であるとは言い切れないが、CSO/CISOに要求されるスキルセットを考えるうえでは参考になる。この報告書中で「CISO補佐」としているのは日本企業の現実としてこれらの知見を有した会社役員は希少であることから、担当役員の配下に実務的なトップ(例えば部長・本部長級の実務責任者)を置かざるを得ないという事情を反映していると言える。

【表1】 情報セキュリティ教育のカリキュラム体系


それ以外に、経営陣に説明しコンセンサスを得るためには自らもビジネスと経営の視点を持つことも重要である。一般的に企業経営者が情報セキュリティに関して高度な知見があるとは考えにくいので、専門用語を使わずに「事業にどのようなリスクがあり、顕在化した場合にはどのような影響が出るのか」「それらのリスクに対してどのように投資を行い、対策とするのか」「単なるリスク管理を超えた戦略的価値があるか」といったことを説明し、合意を得なければならない。

加えてセキュリティ対策を推進する際にはビジネス現場との調整にも困難が予想される。「余計な手間だ」「面倒だ」「仕事の効率が落ちる」「よくわからない」など現場の反発が予想される場合にはポリシーやルールだけを振りかざしても良い結果は得られない。CSO/CISOはビジネス現場を敵に回すのではなく「現場の見方であり、協力者である」という立場でセキュリティ対策を推進し、現場と一緒になって考え、アドバイスをするという立場で活躍することが期待される。

このようにCSO/CISOには技術力や専門的知見だけでなく、「利益を生まないコスト」と見られがちなセキュリティ管理を組織内で推進するためのコミュニケーション能力や内部調整力も求められている。

3.システム監査との関係

従来、ITシステムのチェックや向上を目的として行われてきたアクティビティにシステム監査があり、銀行など金融機関中心に古くは1980年代から行われてきた。情報セキュリティ分野においても今世紀初頭から「情報セキュリティ監査」が行われはじめ2003年経済産業省が「情報セキュリティ監査制度」を開始したことで、これをサービスとして提供する企業も増えている。

通常監査というと内部監査であれ外部監査であれ「監査人の独立性」が重要であると言われている。確かに法定監査である会計監査において、その合理的な保証の範囲で意見を表明するためには重要な点である。しかしいっぽうで企業において内部監査部門が「指摘はするがアドバイスはしない」という姿勢を取れば現場からは反発を買うことが多い。最終的な目的は決して「チェックすること」ではなく「事業全体に対するITの貢献とセキュリティも含めたITの質の向上」であることを考えれば、現場のビジネス事情との融和を図りながらよりよいシステムを目指してともに努力するというあり方が、少なくとも内部のシステム監査においては重要である。また外部の企業に委託してシステム監査を行う場合であっても、この内部監査体制が整備されていれば監査業務は円滑に進む。

実はこの点で内部監査部門によるシステム監査のあり方と、情報セキュリティの改善に努力するCSO/CISOのありかたとは一致する部分が多い。従ってCSO/CISOは内部監査部門によるシステム監査や業務監査とも連携し、セキュリティ監査についてはこれを統括し、業務をささえるITを改善していくためのリーダーの一人でなければならない。

4.よりよいセキュリティ管理をめざして

こうした検討を進めるとCSO/CISOに適した人材というのはあまり多くないのが現状であり、セキュリティの専門家人材育成については政府でも前出の「人材育成・資格制度体系化専門委員会」などで議論されている。その一方でERM(Enterprise Risk Management)の一部としてセキュリティ管理がどのように機能できるかがますます重要になっていくと予想される。これらを実現するためのキーマンとなるCSO/CISOとして近い将来多くの優秀な人材が活躍することが期待されており、人材育成など周辺環境の早急な整備が望まれる。




copyright© ITGI Japan - All rights reserved.