CISO(最高情報セキュリティ責任者)とは?役割とCIOとの違い

CISO(Chief Information Security Officer)とは、企業のデータを保護するために使用するサイバーセキュリティ戦略を設計し、組織全体のリスクを評価して、サイバー防御を改善する責任をもつ、最高情報セキュリティ責任者のことです。CISOは、セキュリティプログラムの設計、ディザスタリカバリ計画の作成、ユーザー、経営者、創業者、管理者へのサイバーセキュリティのベストプラクティスに関する教育を行います。

CISOの役割

CIO(最高情報責任者)がシステム管理者チームを指揮するように、CISOはセキュリティ専門家チームを監督します。すべての企業が大規模なセキュリティチームを持てるわけではないので、CISOは通常、大企業に存在します。中小企業では、CISOと契約し、バーチャルCISOを利用してセキュリティプログラムの構築を支援することができます。

CISO は組織内のリーダーであるため、サイバーセキュリティの状況を常に監視し、データを保護するための次善の策をセキュリティチームに指示することもできます。CISO は、最新のサイバーセキュリティ研究に基づき、インフラのアップグレードや、新たな脅威を阻止するための新しいセキュリティツールの計画について提言します。

サイバーインシデントが発生した場合、CISOはディザスタリカバリを開始し、セキュリティチームにその方法を指示する権限を持つ人物になるかもしれません。CISOはまた、インシデント対応に有効で、ダウンタイムを制限し、金銭的損失と損害を最小限に抑えるディザスタリカバリ計画の設計と実施に関与します。

CISOとCIO

セキュリティチームや組織のセキュリティを評価するリーダーがいない場合、あなたのビジネスはハッカーや脅威アクターなどのターゲットになります。組織は、特にシステムを侵害するように設計されていないランダムなスクリプト攻撃に対しても、さらに脆弱になります。スクリプトは、ウェブサイト上でインターネット全体のスキャンを実行し、一般的な脆弱性を見つけ、多くの場合、自動的にそれを悪用します。CISOは、インターネット上の自動的な脆弱性攻撃であれ、自社を標的とした高度な攻撃であれ、それを阻止する方法を見出すことができます。

CISOの役割は、多くの場合、ITとオペレーションという大きな傘の下に位置します。セキュリティチームは、開発者とオペレーションチームの両方と協力して、データセキュリティを改善するためのより良い方法を探します。CISOはセキュリティチームを率いますが、開発者はセキュリティチームと協力して、企業のソフトウェアの脆弱性を発見し、安全なコードの書き方を指導します。オペレーションチームは、データを保護するインフラを導入することで、CISOやセキュリティチームから恩恵を受けます。インフラは、クラウドでもオンプレミスでも構いません。

通常、CIOとCISOが連携して企業インフラの設計を行います。CIOはネットワークインフラの設計を監督し、CISOはCIOと協力して、ファイアウォール、パッチ管理、バックアップ、データアクセス制御、監視、侵入検知と防止、ユーザーID管理、ワークステーション・アンチウイルスなどのセキュリティインフラを統合します。CIOの役割はユーザーの生産性を高めることであり、CISOはユーザーが正しいセキュリティのベストプラクティスに従って企業情報を保護することを保証する必要があります。

CISOの役職に適した人材

CISOはリーダーであるため、優れた管理能力が必要です。CISOは、人と上手に接するだけでなく、予算や計画を立てることにも長けていなければなりません。CISOが行うことはすべて組織の利益のためであるべきで、そのため計画やセキュリティトレーニングはビジネスニーズに特化したものであるべきです。

セキュリティの目標と企業の財務および生産性の目標を一致させることは、CISOの主要な責任です。優れたCISOは、すべての利害関係者と協力して、セキュリティが従業員の生産性を妨げず、かつ従業員が誤って機密データを漏洩しないようにします。

優れたCISOには、優れたリーダーシップと、サイバーセキュリティとハッキングに関する深い知識が必要です。CISOの中には、ホワイトハットハッキングのペネトレーションテストやダークウェブの活動の研究に貢献し、最新の脅威や野放しの脆弱性に関する知識を身に付けている人もいます。CISOは企画や設計を担当するため、セキュリティの向上とリスク低減のために何が必要かを明確に伝える能力が求められます。また、フィッシングメール、マルウェア、ソーシャルエンジニアリング、安全でない行為などを従業員が認識できるよう、セキュリティ意識向上トレーニングプログラムの計画もCISOが行います。

優れたサイバーセキュリティは、組織全体にわたるものであり、全社的な取り組みである必要があります。組織の CISO は、サイバーセキュリティの方針を教育し、実施するための取り組みを調整します。セキュリティチームは、電子メール、従業員ハンドブック、イントラネットサイト、または社内コースを通じてポリシーを共有します。サイバーセキュリティの取り組みを調整するのは大変な仕事です。そのため、優れた CISO は、効果的なポリシーを展開するための人材とリソースを管理する能力を持っています。

情報セキュリティの他の分野と同様、CISOは、最新の脅威を理解するために、学習、研究、教育リソースの利用を止めることはありません。新しい脅威は毎日展開されており、脅威に関する知識を得ることはCISOの責任です。また、新しい脆弱性も日々発見されているため、最新のレポートから脆弱性のあるソフトウェアを特定し、インフラにパッチを適用する方法を迅速に見つけることもCISOの責務です。

CISOに必要なスキル

情報セキュリティの戦略は企業ごとに異なり、取り組みをリードする適任者も異なります。CISOの役割は明確に定義されていません。CISO は、サイバーセキュリティの取り組みを主導する以外に、組織文化に適合し、サイバーセキュリティの展開とリスク管理のベストプラクティスを実践できる必要があります。

サイバーセキュリティに対する情熱は、組織にとって長期的な投資となる人物の重要な識別材料となることがよくあります。CISO は、従業員が出世していく過程で内部から採用されることもありますが、優れた CISO は外部からも見つけることができます。CISOは、リーダーとしての役割を容易に果たせるよう、通常のビジネス慣習に精通している必要がある。CISOがIT予算と、優先順位を決めながらインフラに資金を供給する方法を理解していれば、ビジネスにも役立ちます。

ベストプラクティスとして定義されているのは、NISTとISOの2つの主要なフレームワークです。新しいCISOがチームに加わると、現在のプラクティス、ベンチマーク、リスクアセスメント、その他のビジネスプロセスのレビューが行われます。そのため、CISOは現在のプラクティスを検証し、それを改善する計画を構築するスキルが必要となります。

ほとんどの企業が在宅勤務を受け入れているため、CISOはクラウドとクラウドインフラを取り巻くサイバーセキュリティについても理解しておく必要があります。今日のコンピューティング環境では、クラウドの移行やオンプレミスインフラへの統合は一般的なことです。CISOは、従業員の生産性を高めるためにクラウドを活用する最善の方法について、オペレーションチームや開発者に指示できなければなりません。

CISOの必要性

環境内のリスクの数がわからなければ、どのようなサイバーセキュリティインフラが必要なのかわかりません。CISOは、ネットワーク全体の脆弱性や弱点を見つけるためにリスクアセスメントを実施します。ほとんどの小規模な組織では、誰もリスクを意識することなく、いくつかの脆弱性が存在しています。CISOは、リスクを特定し、それを是正するための戦略を策定します。

CISOを雇う主な理由は、CISOの知識を活用し、リスクを低減するための計画を作成し、サイバーセキュリティ戦略を設計するためです。CISOが有益であるもう1つの理由は、組織にコンプライアンスをもたらせることです。組織が特定のコンプライアンス・ガイドラインに従わなければならないのに、環境がコンプライアンスに準拠していない場合、データ侵害後に何億円ものコストが発生する可能性があります。

CISOを採用する主な理由は、経費の節約とブランドの評判の維持の2つです。データ漏洩は、訴訟、ブランドへのダメージ、ダウンタイム、収益の損失、顧客ロイヤリティなど、何億円もの損失をもたらします。データ漏洩の長期的な影響は何年も続くことがあり、小規模な企業では倒産してしまうこともあります。CISOは、収益に影響を与えるデータ漏洩から組織を保護し、規制要件に準拠した組織を維持します。

CISOの今後

サイバーセキュリティの分野に身を置くと、誰もが変化し進化する状況に適応する必要があります。新しい脅威は日々登場し、その多くが企業を標的としています。CISOは新しい脅威に対処しますが、これからのCISOは、最新のテクノロジーをどのように保護するかも理解しなければなりません。人工知能(AI)、メタバース、ソーシャルメディア、量子コンピューティング、その他多くの未来技術などを理解する必要があります。

ほとんどの場合、最高のサイバーセキュリティ環境はゼロトラスト戦略を使用していることを示唆しています。CISO は、ゼロトラストを理解し、どのような環境でもそれを実施する方法を知っていなければなりません。新しい戦略を採用することは、古い技術を持つ組織にとっては難しいかもしれません。したがって、CISOは、できるだけダウンタイムを少なくして、組織を新しいフレームワークに導くことができなければなりません。

バーチャル CISO は、専任の責任者を雇いたくないが、サイバーセキュリティのリーダーが必要な企業に人気があります。バーチャル CISO(vCISO)は、標準的な CISO と同じ機能をすべて実行しますが、セキュリティチームをフルタイムで監督するのではなく、組織が助けを必要としているときに機能します。CISOは高価な従業員であるため、vCISOは通常の常勤役員を置く余裕のない中小企業にとって、経済的な選択肢となります。

ProofpointのCISOハブ

Proofpointは、サイバーセキュリティ、ゼロトラストネットワーキング、クラウドコンピューティングの課題に対してCISOを支援することができるリソースを含むCISOハブを提供しています。また、最新の脅威や、監視、封じ込め、撲滅に関連する最新の戦略に関する調査でも、CISOを支援しています。CISOハブは、その手始めとして最適な場所です。

ホワイトペーパー「Voice of the CISO Report」では、前年のサイバーセキュリティ事件、脅威と戦うための新たな戦略、変化し続けるCISOの役割とその課題についてレビューしていますので、ぜひご覧ください。

CISOに関する世界の視点は、「CISO Perspectives」でご覧いただけます。