社内のセキュリティを担う「CISO」とは
企業へのサイバー攻撃が相次ぎ、セキュリティ対策の重要性は年々高まっている。そうした中で注目されているのが、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)だ。
CISOは、単なる技術担当ではなく、組織全体の視点でセキュリティをマネジメントする上級管理職である。松本氏は「ビジネスの目的とセキュリティ戦略を結びつけるのがCISOの役割」と述べる。
CISOに求められるのは「経営層との連携」
CISOの重要な役割は、経営層との連携である。経営層に直接報告や相談ができるような立場、役職であることが一つの理想だ。例えばAmazonでは、CEOが定期的にCISOとミーティングを行い、単なる状況報告だけでなく様々な課題を確認し合う時間を設けているという。
このような関係性が重視される背景について、松本氏は「新しくビジネス戦略を立てる際には、セキュリティやプライバシーの観点を踏まえて議論することが求められる」と述べる。
このとき、リスクの有無ではなく“高低”で議論することが重要だという。経営の意思決定においては、リスクが高いのであれば、どう対応していくかを示す必要がある。このように、CISOはセキュリティ対策に留まらず、事業の成長を支える役割を担う。
CISOの第一ステップは「現状把握」
しかし実際のところ、多くの企業ではCISOを設置するまでに至っていないのが現状だ。松本氏は「CISOを立てることがゴールではない」としつつ、こうした企業でも、意思決定の所在をしっかり決めておくことは必要だと続ける。
そして、具体的な最初のステップとして「現状把握」を挙げる。そもそも経営層が、自社のシステム数や重要度を把握できていないケースもある。まずは現状を把握して必要なところに手当てをしていくことから始める必要があるのだ。
次は、セキュリティ意識を高めるためのアプローチ
