CISOに必要な資質:企業ITセキュリティの成功とリーダーシップについて

2018年11月2日

最高情報セキュリティ責任者(CISO)またはそれに相当する立場にある人は、サイバーセキュリティをどのように見ているのでしょうか?また、どのような問題を抱えているでしょう?その答えを得るために、Kaspersky Labは、世界各地のCISO(またはそれに相当する立場にある人)、250人を対象に調査を行いました。同じCISOとしてすべての意見に同意できるとは言えないまでも、集まった意見は非常に興味深いものでした。

CISOの重要業績評価指標(KPI)に関する質問を見てみましょう。回答者のほとんどが、自分の仕事の主な評価基準として「インシデントレスポンスの質とスピード」を挙げています。これは驚くようなことではありません。現代の企業は、サイバーインシデントをセキュリティの失敗とは見なさない方向に向かっています。インシデントは不可避であり通常のことですらあると、専門家の大半が理解し始めているのは結構なことです。こんにち、サイバーセキュリティは主に企業の存続に関わっています。

「存続」とは、APT(Advanced Persistent Threat)攻撃やデータ漏洩、大規模なDDoS攻撃が起きたときに、企業が深刻な損害なく原状回復できる、あるいは所定の最低限の損失(額)以下に抑えられるような保護レベルを備えるという意味合いです。言い換えると、現代のCISOはインシデントレスポンスに重点的に取り組んでいます。

これは実に素晴らしいことです。わずか数年前、サイバー脅威からの保護と言えば「ゼロインシデント」という考え方が主流で、CISOは鉄壁の守りをもってインシデントからインフラを保護すべきだとされていました。一方、発生したインシデントに対処するテクノロジーだけを重視すればよいものでもありません。個人的には、CISOはこれらをうまく両立させるべきだと考えます。適応型セキュリティアーキテクチャの構成要素である防御、検知、対応、予測のすべてが重要なのです。

リスクについて

セキュリティ侵害により組織に及ぶ最大のリスクは、組織の評判に傷がつくことである。大半のCISOはこの点に一致を見ています。これについては全面的に同意します。私も同じように答えたでしょう。株価の下落、顧客の信頼の喪失、売り上げの落ち込みなど、あらゆる付随的結果は評判が傷つくことに端を発します。

これこそ、セキュリティインシデントの大半がほとんど表に出てこない本当の理由です。企業は、サイバーインシデントを隠せるものなら隠します。国によっては、セキュリティの問題に関する情報を株主や顧客へ開示することを法律で義務付けていますが、それにもかかわらずオープンにしない傾向があります。

CISOはサイバー犯罪者の動機に差異があることを理解しており、国家の支援を受けた攻撃と金銭目当ての犯罪を区別できるようです。しかし、私ならば組織内部からの攻撃をリスクのトップに据えるでしょう。損失の点でいえば、これが最も危険です。不誠実な従業員が外部の犯罪者よりも大きな損害をもたらす可能性のあることは、経験が証明しています。

経営判断への影響

CISOがどのように経営判断にかかわっているかを見るのは、興味深いことでした。驚いたのは、自分が適切に関与していると考えるCISOばかりではないことです。それにしても、何を「適切」と見なしているのでしょうか?

「適切な関与」には、基本的に2つの方法があります。承認プロセスに関わり、セキュリティの観点から企業の動きをコントロールする方法と、アドバイスを求められるコンサルタントの役割を果たす方法です。

一見したところ、全面的なコントロールの方が効率的に思われます。サイバーセキュリティ自体を目的とするならば、おそらくそのとおりでしょう。現実には、このアプローチには大勢の人員が必要で、事業の展開がスローダウンします。特に、保護のベストプラクティスがまだ確立されていないビジネスプロセスを採用している革新的な企業の場合には、特に難題かもしれません。

予算の正当化

「明確な投資利益率(ROI)なしに、どのように予算を正当化していますか」という質問への回答には、困惑を覚えました。上位を占めたのは、サイバーセキュリティ侵害に関するレポートや過去に起きた攻撃によって自社に生じた損害の査定などを提示するという、脅して認めてもらうタイプの回答でした。最初の1、2回は効果があります。しかし3回目ともなれば、「わかった、確かに恐ろしい。他社はどうやって対処しているのか?」という反応が返ってくるようになるでしょう。

企業の場合、他社の経験を学ぶ方が現実的です。しかし、他社の状況について知ることのできる公開情報が存在するにもかかわらず、「業界のベンチマークやベストプラクティス」という意見は残念ながら7位でした。こういった公開情報を得られる場所としては、たとえば当社のIT Security Calculator(英語)があります。

今回の調査は、多くの検討材料を与えてくれています。レポートの全文は、こちらからご覧いただけます。レポートは英語でのご提供となります。