CIO シェアコラム

CISOとは?必要なスキルや役割、キャリアパスについて解説

CISOChief Information Security Officerの略称で、最高情報セキュリティ責任者、企業において情報セキュリティを統括する責任者を指します。

近しい役職として、 CIOChief Information Officer:最高情報責任者)やCSOChief Security Officer:最高セキュリティ責任者)がありますが、CIOはセキュリティに限らない情報システム全般を担当範囲としており、CSOは情報システム関連だけではない、全社における保安対策を担当範囲としている、という違いがあります。

本記事では、CISOの役割や必要な知識・経験など、CISOに関する情報をまとめました。

CISOの役割

CISO経営者として組織の情報セキュリティ対策を導く、高度IT人材の一つです。

以前はCIOと兼任されるケースが多かったものの、昨今のセキュリティリスクの高まりや情報セキュリティ対策が戦略として重要になってきているということからも、CISOを別途設置する企業も増えてきています。

また、現場の情報システム部門や実際に情報を扱うユーザー部門とも、CISOが橋渡し役となって会話し、情報セキュリティ対策を企業全体に広げる必要があります。

実際に行われることの多い業務は以下のようなものです。

  • 情報セキュリティポリシーの策定
  • 企業内システムにおけるセキュリティ施策の策定
  • 機密管理規程の策定
  • セキュリティ監査の統括
  • セキュリティインシデント管理

特にセキュリティインシデント管理では、実際にインシデントが発生した場合、検出と対応を行う社内組織(CSIRTComputer Security Incident Response Teamと称される)が事態を収束するよう動き、CISOは経営層や顧客など社内外のステークホルダーに説明を行うなど、CISOCSIRTを統括・監督し、情報を得ながらセキュリティインシデントを管理します。

その他、CxOと呼ばれる役職には、COO(最高執行責任者、Chief Operating Officer)やCIO(最高情報責任者、Chief Information Officer)などもあります。

CIOについては、CIOの役割や必要な知識・経験、キャリアパスなどを以下の記事で紹介していますので、ぜひ合わせてご一読ください。
CIOとは?必要な知識・スキル・経験やキャリアパスについて解説

CISOを取り巻く環境

昨今の情勢の中で、CISOは企業の情報セキュリティ戦略を立案し、実行するだけでなく、組織全体のセキュリティ意識の向上にも貢献しなければならないという大きな責任を持っています。2023年、CISOが直面している課題としては以下のようなものがあります。

  1. 増加するサイバーセキュリティの脅威
    サイバー攻撃は技術的に高度化し、頻度も増しています。ランサムウェア攻撃、フィッシング、ゼロデイ攻撃など、企業が対応しなければならない脅威は増加し続けています。
  2. データプライバシー法規制の厳格化
    データ保護とプライバシーに関する法規制は世界中で厳格化しており、企業はこれらの法規制を遵守しなければなりません。例えば、EUのGDPR(General Data Protection Regulation)や、カリフォルニア州のCCPA(California Consumer Privacy Act)などがあります。

  3. リモートワークの普及
    新型コロナウイルスのパンデミック以降、リモートワークが急速に普及しました。これにより、従業員が自宅や外出先から企業のネットワークにアクセスすることが増え、セキュリティの管理が複雑化しています。

  4. クラウドサービスの利用増加
    企業の多くは、ITインフラストラクチャをクラウドに移行しています。これにより、データ保護とプライバシー管理がさらに重要となり、さまざまなクラウドサービスプロバイダとのセキュリティ管理に関する協力も必要となっています。

  5. AIと自動化の導入
    AIや自動化技術は、セキュリティ脅威の検出や対応を助けますが、同時に新たな脅威や脆弱性も生み出す可能性があります。

CISOに必要な知識・力

情報セキュリティに対する知識・技術

情報セキュリティの責任者として、自社のセキュリティ状態を把握する仕組み作りや適切なセキュリティ施策の提案・導入、リスク分析が求められるため、情報セキュリティに対する脅威の全体像を理解し、セキュリティ技術を評価するには知識と技術の両方が必要となります。

経営や会計、リスク分析などのビジネススキル

自社の経営状況や経営戦略を理解し、何がリスクになるのかを正確に判断したうえでセキュリティ戦略を主導しなくてはなりません。CxOの一役職として、経営の知識も必須となります。

コミュニケーションスキル

CISO経営層と現場部門、現場部門同士をつなぐ橋渡し役としての役割が求められるため、常日頃から、関係者との適切なコミュニケーションを取っておくことが必要です。
もしインシデントが発生した場合でも、関係者との信頼関係をあらかじめ構築しておくことでスムーズな対応が可能になります。

リーダーシップ・意思決定力

また、CxOの一役職として、組織を牽引するリーダーシップが求められます。


特にインシデント発生時には、CSIRTだけでは被害額や業務影響の重大さから経営上の決定ができません。CISOには技術面・経営面の双方の立場から迅速かつ適切な意思決定を行うことが求められます。

CISOになるために必要な経験

では、実際にCISOになるためには、どのような経験が必要となるのでしょうか。

セキュリティ関連組織でのマネジメント経験

情報セキュリティに関する知識やインシデント対応経験などはもちろん、マネジメント経験があれば限られたリソースを最大限有効に使うために役立つでしょう。

折衝経験・リーダー経験

人に伝える力、人を納得させる力はCISOにとって非常に重要です。またCSIRTをはじめ企業全体のセキュリティ施策を牽引する責任者として、チームをまとめ信頼を得ることも大切です。過去に組織やプロジェクトでのリーダー経験があれば役立つでしょう。

CISO設置状況とその背景

IPAから2020年に発行された「企業のCISO等やセキュリティ対策推進に関する実態調査」では、専任のCISOが7.5%、兼任のCISOが92.5%と兼任の割合が大きく増えていることが分かります。

これは多くの企業においてCISOの業務内容や権限、責任が明確でないために他のポジションと兼務させている背景があると考えられるとともに、CISOとして任命できるほどの人材が質・量ともに足りていないという課題も示唆されます。

サイバー攻撃が高度化している中、情報セキュリティ対策の重要性は高まっています。
技術、マネジメント、経営などあらゆる素養が求められますが、セキュリティ責任者として企業を守る、非常にやりがいのある仕事です。企業におけるCISOの重要性は今後ますます高まっていくでしょう。

メールマガジン会員登録・お問い合わせ

CIOの登用を検討されているユーザ企業の人事担当者様や、CIOを目指したいと思っている方、当協議会の活動に興味・関心を持っていただけた方は、ぜひメールマガジンのご登録をお願いいたします。 ご不明な点やご相談等がございましたら、お気軽にお問い合わせください。

 

投稿者プロフィール

神村
神村
新卒で株式会社グローバル・パートナーズ・テクノロジーにアソシエイトコンサルタントとして入社。2021年より一般社団法人CIOシェアリング協議会の運営に関わり、Twitterの運営を担当しています。

Category

Recent Posts

Archive

Tag

Search