最高情報セキュリティ責任者(CISO)の役割とは？

サイバー攻撃が多発している今、最高情報セキュリティ責任者(CISO)の役割はますます重要になり、さらに注目されるようになりました。企業は、インフラストラクチャ、ネットワーク、機密データの保護への投資を余儀なくされています。また、ChatGPTなどの生成AIがサイバーセキュリティにもたらす影響など、新たに登場したテクノロジーを考慮することも求められています。

このブログ記事では、CISOの概要と、CISOが担う主なタスクおよび責任について説明します。

CISOの役割とは？

最高情報セキュリティ責任者(CISO)は、組織のデータとシステムを保護する情報セキュリティプログラムの開発と実装を担う上級管理職です。彼らは「経営幹部」の一員として、リスクを管理し、組織のセキュリティ態勢をビジネス目標と一致させる責任を負っています。

CISOとしての任務を果たすには、セキュリティ関連のテクノロジーとプロセスに関する幅広い知識と、ビジネスおよびリスク管理に関する十分な理解が必要です。つまり、セキュリティの知識だけでは十分ではありません。CISOは、以下の能力を備えていることが求められます。

• 技術系のスタッフと非技術系のスタッフの両方と効果的なコミュニケーションを取れる能力
• 組織のセキュリティ態勢について、シニアマネージャーに明確に説明できる能力(特に、十分な態勢が整っていない場合)

CISOが担う主な責任

これまではCISOの概要を紹介したので、次はCISOの実際の仕事について説明します。

CISOは、組織の情報システムのセキュリティ全般に責任があります。具体的には以下のような作業を担当します。

• セキュリティに関するポリシーや手順の策定と実装。この作業には、セキュリティフレームワークがガイドとして役立ちます。
• セキュリティスタッフの管理。大規模な組織では多くのセキュリティチームを監督することになります。
• ネットワークアクティビティの把握と、潜在的な脅威に対する準備。
• インシデント対応とディザスタリカバリー計画の監督。
• データ漏えいやセキュリティ侵害が発生した場合の対応と復旧作業の調整。
• CIOやCEO、あるいは取締役会など、指定された管理層への報告。

(関連記事：脆弱性や脅威と全体的なリスクとの関係)

CISOに必要なスキルと経験

CISOは単なるセキュリティエキスパートではありません。ミッションクリティカルな状況に対応するために、多くの場合はリーダーとしてセキュリティエンジニアやリソースを管理します。そのためCISOは、情報セキュリティ、ITエクスペリエンス、リスク管理、コンピューターサイエンス、その他の関連分野に関するバックグラウンドを持ち、深い知識を備えているのが一般的です。必須ではありませんが、監査のスキルがあればさらに役立つでしょう。

また、CISOには、セキュリティ侵害に対応するだけでなく、脅威を監視してリスクを軽減するための戦略を立案したり、最大限の効率が得られるようにリソースを割り当てたりする仕事もあります。ただし、CISOはリーダーとしての役割も担っているため、セキュリティ戦略がビジネス目標と一致するように配慮する必要があります。そのため多くの企業が、CISOには高度なコンピューターサイエンス、エンジニアリング、またはビジネスの学位の取得が不可欠であると考えています。

さらに、以下の認定資格の取得が求められる場合もあります。

• ISACAの情報システム監査人またはセキュリティマネージャーの認定資格
• ISC2の情報システムセキュリティプロフェッショナルの認定資格

(関連記事：取得すべき主なサイバーセキュリティの認定資格)

CISOの役割が生まれた背景

CISOという用語は、1994年頃にCitigroup社によって初めて使用されました。きっかけは、同社がテクノロジーの安全性を高めるために、Steve Katz氏を迎えてセキュリティ部門を設置したことです。そしてご存じのとおり、CISOの役割の本質は、30年近く経った今でもそれほど変わっていません。

その責任は長い間、ガバナンス、ポリシーの策定、およびトラフィックの監視に限定されていました。しかし現在は、新たにいくつかの重要な役割が追加されています。たとえば、技術系の幹部と非技術系の幹部、対象分野のエキスパート、セキュリティエキスパート、および開発者の橋渡しをするのもCISOの役割です。

CISOの指揮命令系統

CISOは従来、最高情報責任者(CIO)や最高技術責任者(CTO)など、他の上級管理職と緊密に連携し、組織のセキュリティプログラムの効果や効率の確保に努めていました。しかし、最近では状況が大きく変わり、CISOの61%がCIOの直属ではなくなっています。その代わりに、CTOや最高執行責任者(COO)、場合によっては最高経営責任者(CEO)の直属として業務を遂行しています。

CISOの大多数がCEOまたはCIOの直属である(出典：「CISOレポート」)

一方、CISOが統括する部門については、セキュリティチームの48%がCISOの直属となっています。3,600人のセキュリティエキスパートを対象とした調査では、CISOがセキュリティの取り組み全体を監督する組織でこの傾向が特に顕著であることが明らかになっています。また、ISACAの調査結果では、CISOがセキュリティチームを統括している組織のセキュリティ評価がIT目標とビジネス目標に一致している場合が多いことも示されています。

CISOの給与

CISOの役割の重要性を考えれば、CISOの給与が高額でも不思議はありません。セキュリティ上の脅威をもたらす攻撃の増加を受けて、CISOの給与はこの10年で大幅に上昇しています。

さまざまな情報筋によると、CISOの給与の中央値は、2015年の時点では130,000～190,000米ドル程度でしたが、2017年までには220,000米ドルに達しています。

Glassdoorによると、2024年1月時点で、CISOの年収の中央値は386,000米ドルとなっています。また、役割、バックグラウンド、組織、および全体的な経験によっては、CISOの給与が585,000米ドルにまで達することもあります。しかもこれは、経営幹部の標準的なボーナスの金額を差し引いたものです。銀行や金融サービス業界では、180,000～400,000米ドルの給与に加え、多額のボーナスや長期的なインセンティブが用意されているケースもあります。

CISOと他の経営幹部の違い

CISOの役割が他の経営幹部の役割と比較されることがよくあります。ここでは、それぞれの役割の違いを簡単に説明します。

CISOとCIOの違い

CISOは、組織の情報システムのセキュリティに責任を負っています。CISOの役割で重点が置かれるのは、組織のITシステムを内部および外部の脅威から保護するための取り組みです。

一方、CIOは、ITの全体的な運用と管理を担い、企業がITをどう利用すればデータを戦略的に活用できるのかを検討します。

CISOとCTOの違い

CISOがセキュリティチェックの実装やセキュリティ関連のあらゆる活動と責任に重点的に取り組むのに対し、CTOは組織全体のIT運用とインフラストラクチャに重点を置きます。

CIOの役割と似ているように思われがちですが、実際はそうではありません。CTOの役割では、イノベーションに焦点を当て、会社のビジネス目標や技術開発を実現するために、既存のテクノロジーと新しいテクノロジーをどのように活用するかを検討します。

CISOとCPOの違い

テクノロジーライターのKayly Lange氏は、以下のように説明しています。

• CISOは、サイバー脅威から情報資産を保護することに重点を置いています。
• CPOは、組織によるプライバシー関連の法律や規制の遵守を徹底することに重点を置いています。

CISOとvCISOの違い

vCISOとは、仮想の最高情報セキュリティ責任者を表します。この新しい役割は、サイバーセキュリティ態勢を改善する方法を模索している組織の間で人気が高まっています。vCISOは、組織のサイバーセキュリティプログラムの戦略的な方向性を定め、リーダーシップを発揮する責任があります。そのためvCISOは以下の役割を担います。

• ビジネス目標に沿ったセキュリティ戦略の策定と実装
• セキュリティチームの日常業務を管理および監督し、セキュリティプログラムの効果を維持

CISOと似ていますが、大きく違うのは、vCISOが組織の専任の従業員ではないということです。彼らは、専門知識とガイダンスを提供するコンサルタントとして雇われます。そのため、組織はCISOをフルタイムで雇用するのに必要なコストをかけることなく、CISOを置くことのメリットを享受できます。さらに、vCISOはサイバーセキュリティに対してより柔軟なアプローチを取れるため、脅威の状況が急速に変化する今日の組織にとって有益な存在です。

CISOを置くことが重要である理由

CISOは組織の安全を維持する上で重要な役割を果たしますが、CISOを置く必要性にまだ疑問をお持ちの方もいるでしょう。しかし、CISOは以下の目的を達成するために必要です。

• 情報リソースを管理し、セキュリティを確保する
• セキュリティ関連の意思決定において、ROIを最大化する
• 脅威の状況に常に先手を打って対応する
• 業界標準に準拠する
• セキュリティの取り組みをビジネスの目標に一致させる

CISOを採用する方法

CISOを採用するにあたって、候補者に求めるべき資質は以下のとおりです。

• 情報資産の取り扱いに関する豊富な経験
• データガバナンスに関する確かな知識と、コンプライアンス構造に対する理解
• セキュリティ対策に対して適切なビジネス価値を割り当てる能力
• セキュリティを強化するための活動を起こす能力
• リスク管理のスキル
• リーダーの資質
• 冷静さを保てる能力(特にプレッシャーのかかる状況において)

CISOのまとめ

サイバーセキュリティへの取り組みは終わりのない戦いであり、常に警戒を怠らない姿勢と、適切な資格および経験を持つ専門家のスキルを必要とします。

CISOは、組織の情報資産を保護する責任を担います。そのためにCISOは、企業のITインフラストラクチャのセキュリティを確保し、セキュリティインシデントを調査します。また、組織の他のメンバーと協力して、IT部門やすべての従業員がベストプラクティスを遵守できるように支援します。

このブログはこちらの英語ブログの翻訳です。