ICTがビジネスに欠かせないインフラとなった今、様々なインシデント(=事故に繋がりかねない出来事)に対するリスクマネジメントは事業を継続するための生命線の1つ。
そこで重要な役割を果たすのが、リスク低減のための情報セキュリティを統括する最高情報セキュリティ責任者「CISO(Chief Information Security Officer)」であり、近年その重要性は高まってきている。
しかし、海外ではその役割が確立されているCISOも、日本ではまだ広く普及しているとはいいがたい。
そこで、日本におけるCISOの現状やその課題、CISOに求められる役割など、企業におけるセキュリティ対策の実態について、富士通株式会社 グローバルマーケティング部門 統合商品戦略本部でセキュリティ領域におけるエバンジェリストとして活躍する太田 大州氏と一般社団法人 日本CISO協会の代表理事である佐々木 慈和氏の対談をお送りしたい。
日本におけるCISOの実態
エバンジェリスト 太田 大州氏
太田氏:最初に、日本CISO協会を設立されたきっかけを教えてください。
佐々木氏:CISOは企業における情報セキュリティの最高責任者という立場になりますが、情報システム部門の方が兼任したり情報システム部門とは関係のない他部署の方がトップから任命されたりなど、CISOとして専任の方はまだ日本では少ないのが現状です。
特に情報セキュリティ自体は範囲が広いこともあり、CISOとしてどんなことに配慮すべきなのか手探りの状態にある方も少なくありません。
どんなことが役割として求められるのか、社内での立ち回りも含めてその知見を求めているところです。
しかし社内に経験者がおらず、相談先がほしいという声を多く耳にする機会がありました。
そこでCISO同士が情報交換できる場を作るべく、日本CISO協会を立ち上げました。
太田氏:協会内ではどのような情報共有が行われているのでしょうか。
佐々木氏:世の中では様々なインシデントが起こっていますが、CISOにとって重要なのは、その対応策を検討し、社内に浸透させていくプランを策定、それを実践・運用することです。
共有できる範囲でのインシデントについて話題になることはありますが、むしろその時は会社でこう対処しました、という情報をシェアし、各企業で生かすことに重点を置いています。
技術的な視点にフォーカスするわけではないため、ある特定のインシデントに注目するという機会は少ないのが実態です。
太田氏:確かにICTの世界はデバイスからネットワーク、クラウドに至るまで広範囲であり、すべての情報セキュリティをきちんと理解されている方はそれほど多くありません。
情報セキュリティはリスクマネジメントであり、我々もテクニカルなものをCISOが持つ必要はないと考えています。
リスクマネジメントの観点でガバナンスを利かせるにはどうするべきか、緊急事態にどう指示すべきなのかということが求められるべきです。
技術的な側面を支えるCSIRTなどのチームがCISOをサポートするという体制が重要になってくると考えています。
佐々木氏:協会内を見てみると、テクニカルな話と業績へのインパクトとのバランスをとることが重要であり、従来のセキュリティ対策の考えから変える方向となっております。
昔に比べて社内での予算は少しずつ確保しやすくなってきましたが、まだまだ十分ではないケースも多いようです。
また情報システム部門の方は自分の専門分野からの視点で判断しがちですが、これからは自身の業務範疇の外からも物事を柔軟に考える姿勢が必要になってきています。
CISOには経営的な視点や企業全体での視点というものを持つ必要があるのは間違いありません。
太田氏:おっしゃる通りで、技術は道具でしかありません。
我々が大事だと考えるのは経営という視点から見た“運用”です。
当然ながら、そこには人材育成や新しい技術の導入ということも必要ですが、ヒューマンエラーも存在しますし、技術に頼ったとしても事件や事故は無くなりません。
だからこそ適正な運用をマネジメントが継続できるかどうかが重要なのです。
そういった視点でCISOには動いていただければと思っています。当然必要な技術を適材適所で入れていく必要がありますが、運用を意識することが大切なのではないでしょうか。
ビジネス視点でセキュリティをとらえることの重要性
太田氏: CISOの皆さんが感じている課題にはどんなことがありますか。
佐々木氏:よく声として出てくるのが、CISOとしての目標が描けないというものです。
目指すべきゴールがないなかで、自分が何をすべきなのかがわからないといった声がよく聞かれます。
ただ、最近ではCISOの役割や評価軸をしっかり明確化し、外部から人材を招へいするといったことに取り組んでいる先進的な企業も出始めています。
成功している例はまだごく一部ですが、実例としても出てきているのが現状です。
太田氏: CISOに対する評価をどう見るのかは重要ですね。
私自身は、大きな事故が発生したからといってCISOが責任をとる形で職を解かれる、という考え方ではではだめだと考えています。
事故が起こった時、CISOが存在していなければ何百億円という損失だったところが、CISOがいることで30億円に損失を抑えることができた、という価値を期待して雇用するということが正しいような気がしています。
これは、事故は必ず起きるということが前提になっているからです。
佐々木氏:そのためには、経営者の意識を変えていくことが必要です。
経営者はプラスとマイナスの視点で事業を判断しますが、マイナス部分をしっかり勘定に入れてコストを明確にしていけるかどうかではないでしょうか。
太田氏:あらゆるものがつながるIoT時代に突入した今、事業を考える際には、必ずセキュリティの考え方を含める“Security By Design”という視点が必要なのではないでしょうか。
例えば、今の仕組みで100億円の利益が見込めるが、サイバーセキュリティ対策として20億円の投資が必要だとしましょう。
この場合、100億円についてのみコミットしてしまうから、後からセキュリティ対策としての予算が確保できなくなってしまうのです。
最初から80億円がコミットとして正しかったという風潮を社会的にも作っていかなければいけませんし、それをコミットさせるような指導もしていく必要があると考えています。
佐々木氏:確かにおっしゃる通りで、CISOとして一番重要なのはビジネス的な視点です。
すでに事業として動いている中で世の中的に大きな事件が起こり、その時点で経営者に「マルウェア対策が必要です」といっても後の祭りで、そこから新たな投資を引き出すのは難しいものです。
CIOなどが戦略投資予算を組む過程で、全体予算のうちどれくらいの割合をセキュリティに充てると最適であるなどの指針を、CISOがねじ込めるかどうかというのが重要な役割になってきます。