～CISOの悩み～日本企業のセキュリティ対策

経済産業省と情報処理推進機構（IPA）が2005年に発表した「サイバーセキュリティ経営ガイドライン」をきっかけに、組織のセキュリティ対策を所轄する最高情報セキュリティ責任者（CISO）やCSIRT（Computer Security Incident Response Team）を設置する企業が増加しました。

しかし、情報セキュリティのみならずビジネスや経営に関する高度な知識も求められるCISOに十分なスキルを持った人材はそう多くはなく、大部分が当座にあつらえられたものであると考えられます。

今回は、そのような背景を持つCISOの悩みにスポットを当て、解決法を考えていきます。

5.まとめ　～先行投資としてのサイバーセキュリティ対策を～

CISOってそもそもなに？

CISOとは、Chief Information Security Officer（チーフ・インフォメーション・セキュリティ・オフィサー）の頭文字を取ったもので日本語では「最高情報セキュリティ責任者」と訳されます。

企業などの情報セキュリティを総合的に管理する責任者で、情報システムのセキュリティ対策と組織が保有する情報資産の運用を担います。
具体的には、コンピュータシステムやネットワークの安全管理、機密情報管理規定の運用、情報漏えいの防止策の策定などを行います。

単なる情報システム部門などのトップではなく、情報とセキュリティに関して企業としての戦略を立て経営に参画する役割が求められるのがCISOです。日本ネットワーク・セキュリティ協会（JNSA）が2018年5月に発表した「CISOハンドブック」では、セキュリティを経営に取り込むために求められるビジネスの視点について取り上げられています。

ただ、ITとサイバーセキュリティ、経営に関する高度な知識を備えた人材はそう多くありません。そのため多くの企業では、情報システム部長や非IT系部門出身の役員などが任命されるケースが多くなります。

CISOの悩み

このように、いわば実質が伴わない形ばかりのCISOが数多く誕生することとなり、任命されたCISO側は求められる役割と現実の間で悩むことになります。

その具体的な内容を明らかにした調査結果が、先述のIPAが2020年3月に発表した「企業のCISO等やセキュリティ対策推進者に関する実態調査」です。同調査によると、「セキュリティ対策を推進する上での課題認識」のトップ3が以下の通りでした。

1. リスクの見える化が困難／不十分（45.7%）
2. インシデント発生に備えた準備が不十分（34.6%）
3. 担当者の専門知識が不足している（30.0%）

こうしたセキュリティそのものに対する課題認識が高い一方で、「経営層のリスク感度が低い（9.7%）」「経営層にITやセキュリティの重要性を理解してもらえない（9.4%）」と、経営層のセキュリティに対する感度の低さに対する危機感が浮き彫りになりました。

同調査の対象は先進的なサイバーセキュリティ対策に取り組む国内企業7社です。先進的な企業のCISOですらこのような悩みを抱えており、日本企業の多くが同等かそれ以上にこうした問題に悩まされていると考えて良いでしょう。

こうした日本のCISOの実情を海外と比較して見てみましょう。コンピュータネットワーク機器開発を手がける米シスコシステムズ社が2019年2月（日本語版は4月）に発表した「Cisco 2019 CISO Benchmark Study Reports（2019年版CISOベンチマーク調査）」によれば、日本のCISOは深刻なサイバー侵害が発生した際に正常化するまでにかかるダウンタイムは4時間以内である割合が63％（グローバルは45％）と高いにも関わらず、サイバー疲労※の割合が77％（グローバルは30％）と高い点が特徴的です。

同調査では、サイバー疲労を減らす方法としてトレーニングや自動化、ソフトウェアの最新化などが挙げられています。
※シスコシステムズの定義では「悪質な脅威や攻撃者に対し、常に率先して対処することをあきらめること」

経営層の理解が不可欠

前章で挙げたようなリスクの見える化やトレーニングの実施には、安くはない費用がかかります。情報システム部門と経営層の橋渡し役を担うCISOには、経営層の理解を引き出し予算を確保することが求められます。

特に中小企業の場合、経営層が「自社ではサイバー攻撃者に狙われるような価値のある情報は保有していない」と考える傾向があり、大規模なインシデント事例を根拠にサイバーセキュリティの強化を訴えても耳を貸してもらえない可能性が高いでしょう。

そこで、「企業を成長させるための投資である」という切り口で説得を試みる必要が出てきます。

経営層の理解を得るために

時代とともにテクノロジーはどんどん進化していきます。現代であれば、IoTやAI、AR/VR、5Gといった最新技術をビジネスに取り入れるかどうかが競合他社との競争力を左右するでしょう。そしてこうした最新テクノロジーを導入するほど、サイバーセキュリティの重要性は増します。
つまりサイバーセキュリティへ先行投資することで、最新テクノロジーを導入する下地を整えておくという考え方です。

これでも首を縦に振ってくれない経営層には、サイバーセキュリティへの予算と予算を取らなかった場合のサイバー攻撃による損害額との試算比較資料を作成し説得を試みましょう。数値化して比較することで説得力が増すからです。

また、「自社には攻撃されるほど価値のある情報はない」という意見には、サプライチェーン攻撃の被害事例をまとめた資料を用意して、取引先企業へ損害を与えないための予防であると説得するのも良いでしょう。

予算を確保した後のフェーズで経営層が誤解しやすい点として、「サイバーセキュリティ対策の予算さえ割いておけばサイバー攻撃による侵害は免れる」と妄信してしまうことが挙げられます。セキュリティ対策費を保険料のように考えているため、お金を出しておけば何もしなくて良いと誤解してしまっているのです。

しかし、セキュリティ対策には予算だけでなくトレーニング実施などへのユーザー部門の人員の時間を確保することも必要です。パスワードの更新・管理を含め、ユーザー側での協力がセキュリティ対策に必要不可欠であることもきちんと説明しておく必要があるでしょう。

まとめ　～先行投資としてのサイバーセキュリティ対策を～

前章では、サイバーセキュリティ対策への予算を割くだけで満足してしまう経営層に対する説得方法をご紹介しましたが、なかにはCISOを任命しただけで安心してしまう経営層もいるでしょう。

しかし、CISOを任命してサイバーセキュリティ対策を確保し、実際に対策を講じなければ効果はありません。さらには、日々、高度化・巧妙化し続けるサイバー攻撃の動向を見極めながらキュリティ対策を見直していくことも必要です。
ただサイバー攻撃による損害を回避するばかりでなく、経営視点で競争力を上げることを視野に入れた戦略的な予算計画を立てることが大切です。

もしも自社のセキュリティ面の脆弱性やリスク分析などに不安のある企業様は、ぜひアイネスまでご相談ください。

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。