リスク管理：CISOに必須のスキル

当社では昨年、世界各地の最高情報セキュリティ責任者（CISO）を対象に、業界の関心事や問題点に関するアンケート調査を実施しました。自分と同じCISO（またはそれに相当する立場にある人々）から寄せられた回答を見ながら、私は複雑な思いにとらわれたものです。それから1年。再び行った調査の結果は、さらに興味深いものでした。451 Researchと共同実施した今回の調査は、『Cybersecurity Through the CISO’s Eyes: Perspectives on a role』と題したレポートにまとめられています（本記事の末尾よりご覧ください）。

昨年と今年の調査結果を見てみると、まずはこんな印象を受けるのではないでしょうか。「情報セキュリティ全般、中でもCISOの役割は、企業にとってますます重要になってきている」—少なくとも、調査対象となったCISO約300人の意見からはこのような印象を受けます。間違いなく良い兆候です。また、CISOの役割に欠かせない技能として「リスク管理」をはじめとするビジネススキルを挙げた回答者が増えているという事実も、同様に良い兆候です。

しかし、多数意見に個人的に同意できない部分が1つあります。CISOの業務と将来的な成長にとって重要なスキルは、企業のITシステムに関する技術的な能力と深い知識である、このように答えるCISOは今でもいます。技術的な知識がCISOの基本要件であるのはその通りで、またCISOが新しい技術に精通していなければならないのは確かですが、厳密に言えば、現代のITシステムはCISOが全体像を把握するにはあまりにも複雑すぎるということを業界が認識しなければならないように思われます。

ましてや、情報システムは今後さらに高度化していきます（回答者の大半もそう予測しています）。したがって、CISOの技術的な能力は確かに重要ですが、優先されるべきはリスク管理、効果的なチーム管理、そしてビジネスコミュニケーションといったスキルの向上です。こんにち、重要なのは社員なのです。

システムではなく、人間を理解する

今ではITシステムもセキュリティ技術も十分に高度化し、専門性の高い人たちはビジネスに不可欠な意志決定を下す余裕が持てるようになっています。この変化により、チームに対する信頼というものがこれまでになく重要になります。情報セキュリティ部門の責任者はチーム内の専門家を信頼できなければなりませんが、専門家たちもまた、CISOの判断と意志決定を信頼する必要があります。とは言っても、ただ受け入れるのではなく、または自分の意見を述べる機会がないままでもなく、共通の理念を持ち互いにプロフェッショナルとしての敬意を払った上での信頼関係でなければなりません。

回答者によると、情報セキュリティ人材の増員よりも、システム調達予算の増額の方が承認されやすいことがあるようです。新しいシステムをできるだけ購入するのもよいのですが、社内または外部委託の専門家にとって不可欠なスキルと能力を見出すことの方がはるかに重要です。市場で専門家が不足していることを考えると、セキュリティ部門の能力拡大とビジネスニーズへの迅速な対応を進める好機として、外部委託は検討に値するアイデアだと思います。

インシデント対応からリスク管理まで

取締役会やCEOなど主要な利害関係者の間でCISOの役割の重要性が増してきたとはいえ、CISOに応援の要請が来るのは、何か事が起きてからであることがほとんどです（この傾向は、多くの企業が情報セキュリティをビジネスリスク管理の手段と見なしていないことを示しています—幸運なことに当社ではそうした傾向にはありませんが）。また、情報セキュリティのパフォーマンスを経営陣がどのように評価しているかという質問に対して、いまだにインシデント件数やインシデント対応時間が主な指標になっていると、多くのCISOが回答しています。

これらが重要な要素であることは間違いありませんが、Kasperskyが採用するサイバーイミュニティの概念では、しっかり保護されている企業とは、単に損害を引き起こす攻撃の件数を最小限に抑えたりインシデント調査を迅速に行ったりする企業を言うのではなく、このようなインシデントが生じてもビジネスを着実に成長させることができる企業を意味します。

結局のところ、リスクの許容範囲とインシデントがもたらす可能性のある損失の許容範囲は、企業によって異なります。事業の拡大を押し進めるためにセキュリティの対策を多少緩める価値がある場合もあれば、そうでない場合もあります。インシデントの件数は、情報セキュリティのパフォーマンスを測る絶対的な指標とはなりません。情報セキュリティの手段が業務の処理速度やコストに及ぼす影響もまた、重要なポイントです。したがって、個人的には、CISOはインシデント対策に躍起になるのではなく、適切にリスクを評価し、自社および自社の業務プロセスに合致する情報セキュリティシステムを構築できなければならないと考えます。

法務とのコミュニケーションを、より厚く

もう1つ、私にとって印象深かったのは、社内の他部門とのコミュニケーションの重要性に関する回答でした。法務部門は、現状よりも重要視されるべきです。ITシステム、そしてITシステムと外部サービスとの相互関係は複雑化の一途をたどっていますが、国際法も同様に複雑化しています。そうした中、情報セキュリティのプロフェッショナルが下す判断が法的な影響を及ぼす可能性を無視することはできません。

法務部門は、やり取りの多い部門の第4位に挙がっています。第1位はIT部門、2位は経営陣、第3位は財務部門でした。私としては、法務部門とのコミュニケーションは、少なくとも財務部門よりも重要視されるべきだと考えます。情報セキュリティをビジネスリスク管理の手段と捉えるなら、そうするのが理にかなっています。

この調査結果は、ほかにも数々の興味深いデータを提示しています。レポート全文を見るには、以下のフォームに必要事項をご入力ください。レポートは英語でのご提供となります。