サイト内の現在位置

CISOとは一体何?
CIOとの違いや具体的な仕事内容、選出のポイントなどを解説

CISOとは一体何?CIOとの違いや具体的な仕事内容、選出のポイントなどを解説

CISOは「最高情報セキュリティ責任者」という意味で、インターネットのサイバー攻撃やマルウェア感染などのセキュリティリスクに対して、施策を検討・実施する立場にあります。企業において情報管理・ICT資産管理は重要課題であり、統括してセキュリティ管理を行うCISOの存在は、これからの日本企業にとって欠かせません。今回はCISOの役割と人材の選び方などを詳しく解説していきます。

CISOとは一体何?

CISOとは「Chief Information Security Officer」の頭文字をとった役職で、日本語に訳すと「最高情報セキュリティ責任者」となります。セキュリティ対策の総責任者として、経営においてリーダーシップも発揮する立場を任せられることが多いです。

役割

CISOは企業や組織の情報セキュリティの最高責任者であり、セキュリティ基盤の構築や運用、人材の確保、関係部署との連絡・調整などを行います。
またサイバー攻撃やセキュリティ対策もCISOの役割であり、組織全体のセキュリティ対策、情報システムの統括をするのが仕事です。

必要とされる理由・背景

近年はインターネットを利用する企業が大半になり、テクノロジーの進歩と同時にサイバー攻撃やセキュリティリスクも高まっています。従来では考えられない手法でのサイバー攻撃や予想外の感染経路からウイルス感染し、企業情報が盗まれることもあります。
そうしたサイバー犯罪やセキュリティインシデントによって経営基盤が揺るがないように、セキュリティ対策のプロフェッショナルと総責任者が必要になりました。
情報セキュリティの分野に役割と権限を与えることで、より迅速な対応ができるようになることから、CISOという役割が必要とされています。

CIOとの違いは?

CISOに近い役割として「CIO」というものがあります。CIOは「Chief Information Officer」の頭文字をとったもので、最高情報責任者を意味します。
CISOは情報セキュリティの最高責任者ですが、CIOは情報セキュリティを含む情報システム全般の最高責任者です。そのためCIOは情報セキュリティ対策だけでなく、社内システムの企画・構築・運用・管理など、システム全般を管理します。
近年のサイバー犯罪の増加と巧妙化に伴い、セキュリティ対策の責任者を置く企業が増加したことで、CISOという役職も重要視されるようになりました。

CISOの具体的な仕事内容

ここまでCISOという役職について解説しましたが、続いて具体的な仕事内容を紹介します。

1.情報セキュリティポリシーの策定

企業や組織は、それぞれ情報セキュリティの指針や方針を決めています。CISOは企業の情報セキュリティポリシー策定にあたって、必要な人材の確保、チーム体制の整備、情報セキュリティに関連する情報の洗い出しなどを行います。
そして企業や組織にある情報や課題を明確化した後、それぞれの企業に合った情報セキュリティポリシーの策定やセキュリティ対策の意思決定を行うまでがCISOの仕事です。

2.企業内システムにおけるセキュリティ施策の策定

企業内システムにおける情報セキュリティの策定、強化もCISOの仕事です。企業へのサイバー攻撃対策をはじめ、シャドーITによるリスクの低減、不正ログインの防止、情報漏えい対策など、情報セキュリティのあらゆるリスクへの対策・戦略を策定します。
従業員のアクセスログ管理やインターネット利用状況の把握、不正アクセス検知システムの導入など、企業を狙うリスクへの対策を検討しなければなりません。
また施策を定める場合は、短期・中期・長期でそれぞれ目標を設定し、長期的に情報セキュリティを高められるかどうかの検討が求められます。

3.機密管理規程の策定

企業には重要度によってさまざま情報が集まるため、機密情報の管理は信頼にも関わる重要ポイントです。例を挙げると、企業の取引相手や顧客情報など、営業上の秘密に関わる情報が外部に漏れることは大きな問題になります。
実際に大量の顧客情報が漏出し、企業としての信頼を失ったことで、業績が大きく低迷した事例もあります。
そうしたリスクを避けるためには、CISOが社内機密の管理規定を明確化し、機密のレベルや分類に応じて適切な管理ができるようにルールを定めることが重要です。

4.セキュリティ監査の統括

CISOはセキュリティポリシーや機密管理規定を策定するだけでなく、定期的に社内監査を行い、実施状況を確認しなければなりません。社内で統一したルールを遵守できているか、セキュリティにおける脆弱性がないか確認する必要性があるからです。
施策の決定段階で予測できなかった、セキュリティホールが隠れている場合もあります。重要データの管理が正しく行われていなければ、機密情報の漏えいや外部からの不正アクセスで秘密が漏れる危険性が高まります。
監査結果を基に新たな施策を検討し、より効果的な施策を打っていくことがCISOの大きな役割です。
また企業や組織の規模が大きくなるほど、情報セキュリティの施策も全体を意識した広範なものになります。範囲が広がればそれだけ抜け道も多くなるため、監査を実施して常にセキュリティ施策をアップデートしましょう。

5.セキュリティインシデント管理

セキュリティインシデントは起こらないことが理想ですが、インターネットを日常的に扱う企業であれば、いつ起こってもおかしくありません。
CISOはセキュリティインシデントを未然に防ぐだけでなく、実際に起きてしまった場合に備えて、インシデントの検出と対応を行えるように体制を整備することも重要な仕事です。
CISOを配置している企業のなかには、CSIRT(Computer Security Incident Response Team)を設置しているところもあります。社内でセキュリティインシデントが発生した場合、CSIRTが発生状況の把握・評価、対策の検討などを行い、迅速な収束に向けて対応していきます。
また日頃から起こりうる事例を想定した訓練を計画し、万が一の場合に備えた準備を行うこともCISOの役割です。

CISOを配置しないリスク・デメリットとは

CISOを配置しないリスク・デメリットとは

近年、日本企業でもCISOを配置する企業が増加しつつあります。欧米では以前から情報セキュリティへの意識が高く、日本も欧米の後を追う形で情報セキュリティへの意識が高まり、CISOの必要性を認識する企業が増加しているということです。
JPCERTコーディネーションセンターの報告によると、この数年の情報システムセキュリティのインシデントは年間20,000件程度となっており、5年前と比較すると1.3倍近く増加しています。
またサイバー攻撃やマルウェア感染、不正アクセスによる被害も増加しており、被害額の大きさも相まって、経営上の大きなリスクとして対応せざるを得ない状況になっています。
そのためCISOは機密情報を取り扱う企業にとって重要で、従来の経営層だけでは判断できない専門的なセキュリティ対策の検討が求められるようになりました。

セキュリティインシデントが起きてからでは遅い

CISOは社内のセキュリティの脆弱性や外部の脅威、どのような被害が予測されどの程度の被害が想定されるか、顧客への影響、社会的な影響など企業の全体像だけでなく、社会的な立場まで意識して評価を行います。
CISOがいない場合、セキュリティ対策のどこに投資が必要なのか、考えうるリスクの優先順位の決定が行いにくく、効果的な対策の検討が進めづらくなります。
CIOと兼任するケースもありますが、巧妙化するサイバー犯罪やセキュリティインシデントに対応するには、情報セキュリティの専従としてCISOを配置するのが理想です。

セキュリティの責任者・専任者を必要とした場合にするべきこと

企業がセキュリティの責任者・専任者を必要とした時、何をすべきか順序立てて紹介します。

  1. 社内や組織内のセキュリティ情報を収集・精査する
  2. 社内・組織内のセキュリティに関して責任者に適した人材を確保する
  3. 会社の業務内容・形態に合わせたセキュリティシステムの検討・導入
  4. 情報セキュリティの責任者に必要な権限を付与する
  5. 情報セキュリティの必要性を社内で教育する

すべきこと1.社内や組織内のセキュリティ情報を収集・精査する

CISOを専任するにあたっては、セキュリティ情報の収集・精査が欠かせません。組織内のセキュリティ体制や対策を把握したうえで、ICT資産・情報資産の管理システム、どんなシステムを利用しているか、セキュリティソフトなどの状況を把握しましょう。
また社内でどんなデバイスを使用しているか、アップデートの状況、機器の保守・管理・運用方法、メンテナンスの手順などを細かくチェックしてください。
それらの情報を基に、情報セキュリティを統括する責任者として、誰が責任者として最も適任か判断しなければなりません。

すべきこと2.社内・組織内のセキュリティに関して責任者に適した人材を確保する

次に、収集・精査したセキュリティ情報を基に、誰を責任者として選任するか決定します。CISOがいない状況でも、社内の情報セキュリティに精通する人材はいるはずです。
CISOを選任する場合は、セキュリティに関する知識を十分持っていることはもちろんですが、ICTへの造詣が深いこと、セキュリティへの意識が高い人材を選びましょう。
特に重要なポイントは、CISOを選ぶのであれば、セキュリティ専門の担当者や部署を設置し、情報セキュリティに関する業務に専念できる環境を用意することです。
CISOは企業の情報セキュリティ全般の責任者となるため、他の業務や役職との兼任は避け、十分なセキュリティ対策が検討できるよう配慮してください。

すべきこと3.会社の業務内容・形態に合わせたセキュリティシステムの検討・導入

現時点でICT資産管理部門や情報資産管理部門、セキュリティ専門部署がない場合は、会社の業務内容や形態に合わせて統合的なセキュリティシステムの検討、導入が必要です。
各部門が独立しており連携がない場合にも、専門性を持つCISOのような存在を配置する意味はあります。例えば、ICT資産の例としてはパソコン・スマートフォン・タブレットなどのデバイスがあり、情報資産にはOSやソフトウェアがあります。
これらの資産は独立したものではなく、それぞれがセットで存在するものです。そのためセキュリティシステムを導入する際は、どちらに対しても対応できるツールを検討するとともに、専門で対策・監視できる部門の設置も重要となります。

すべきこと4.情報セキュリティの責任者に必要な権限を付与する

情報セキュリティの責任者としてCISOを選任する場合、セキュリティ対策の最高責任者として必要な権限を付与することも欠かせません。CISOという役職を与えられても、権限がなければ名ばかりの存在になってしまいます。
技術や経験を基に判断・決定するのがCISOの役割ですが、決定権がなければ他の従業員に指示、命令を出すことができません。また情報セキュリティの知識、経験が足りなければ、CISOとしての役割を果たせないことも考えられます。
情報セキュリティの知識が豊富で、社内のセキュリティに指示出し、伝達がスムーズにできる人材をCISOに選びましょう。

すべきこと5.情報セキュリティの必要性を社内で教育する

情報セキュリティは通常の業務とは違い、目に見える成果として捉えにくい内容です。そのためセキュリティ対策を実施しても、従業員にとっては余計な手間ばかり増えると思われがちです。
直接的な見返りが分りにくいことで、従業員からの理解を得にくいという難点があります。従業員にも情報セキュリティの重要性を理解してもらうには、社内でのセキュリティ教育を徹底し、必要性を理解してもらうことが重要です。
また日本企業の経営層は情報セキュリティへの投資を軽視しがちで、起こっていないインシデントに資金を割くことに及び腰な傾向があります。しかし実際に起きてからでは被害が拡大してしまうため、セキュリティへの投資は十分行うことが必要です。

CISOを選出する際におさえたいポイント

CISOを選出する際は、3つのおさえておきたいポイントがあります。

1.スキル

CISOを選出する際は、次のスキルを評価して適切な人材を選びましょう。

  • ビジネススキル
  • コミュニケーションスキル
  • リーダーシップ・意思決定力
  • 情報セキュリティの知識

ビジネススキル

CISOは情報セキュリティの専門家であると同時に、経営者として企業の運営面も考慮しながらセキュリティ対策を行うことを求められます。
自社の経営戦略を理解したうえで、情報セキュリティにどんなリスクがあるのか、経営の負担にならないセキュリティ対策は何かを検討しながら戦略を立てなければなりません。
そのためマネジメントスキルを含め、十分なビジネススキルを持つ人材をCISOに選出することがポイントとなります。

コミュニケーションスキル

CISOは経営に関係する役職であると同時に、企業の各部門、従業員と経営層を繋ぐ調整役でもあります。特に企業全体でセキュリティ対策に取り組む場合、CISOとして経営層と現場で働く従業員、両方にコミュニケーションを取って対策を推進しなければなりません。
また情報セキュリティは日頃から対策を行い、各部門で徹底することが重要です。関係部門との連絡を綿密に取り、インシデントが疑われるケースも即座に報告を受けられる体制を整える必要があります。
そのためには、管理者として高いコミュニケーション能力を持つ人材を選ばなければなりません。

リーダーシップ・意思決定力

CISOは情報セキュリティの最高責任者という扱いであり、セキュリティ部門を牽引するリーダーシップと、情報を統合・分析して素早く決断を下す意思決定力も重要なスキルです。
また企業が一体となってセキュリティ対策に取り組むには、従業員や各部門にも影響を与えるリーダーシップは重要です。
CISOを選出する場合は、情報セキュリティの最高責任者として、立場に相応しいリーダーシップと意思決定力を持っているかどうかも判断してください。

情報セキュリティの知識

CISOを選ぶ以上は、当然ながら情報セキュリティの知識が豊富な人材を選ばなければなりません。十分な知識を持つ人物なら、セキュリティ対策の重要性も理解しているからです。
従来の日本企業は情報セキュリティを軽視し、責任者もセキュリティリスクを軽視してきた経緯があります。そのためCISOを選出する以上は、立場に見合うだけの十分な知識及び経験を持つ人材を選びましょう。
また選出したら終わりではなく、常に最新のセキュリティトレンド、サイバー攻撃の知識を取り入れられるように、会社としてもサポートしていく姿勢が重要です。

2.経験

CISOを選出する際は、セキュリティの各種決定権を持つに見合う経験も必要です。そのためには、次の経験を重点的に確認しましょう。

  • マネジメント経験
  • リーダー経験

マネジメント経験

マネジメント経験を持つ人材をCISOにすることで、企業の経営戦略を踏まえたセキュリティ体制の構築、最適化を進めてくれることが期待できます。
またマネジメント経験のある人材なら、企業の課題を分析したうえで、どの程度の投資が必要か、求められるリソースはどれだけあるか、従業員の教育計画まで踏まえた戦略の立案まで可能です。

リーダー経験

求められるスキルとも共通する部分ですが、リーダーとして人を率いる経験があることも重要です。CISOはセキュリティの取り組みで矢面に立ち、従業員への説明を行う立場です。
人を納得させる能力が求められますが、リーダー経験が豊富な人材なら、従業員の信頼も得やすくなります。

【おまけ】CISOの年収はいくらに設定すべき?

最後に、CISOの年収についても紹介します。CISOの平均年収は国によっても違いますが、情報セキュリティ意識の高いアメリカでは、CISOの平均年収はおよそ2,500万円が中央値とされています。
日本の場合はそこまでではないものの、中小企業なら300万円程度、大企業なら1,000万円を超えるとされ、企業によって大きく差があるのが現実です。ただし役員報酬の高い企業や成長企業であれば、平均年収も高くなるでしょう。

情報セキュリティのことは”NECフィールディング”にご相談ください

企業の情報セキュリティのことでお悩みなら、NECフィールディングの「情報セキュリティポリシー策定支援サービス」「情報セキュリティ内部監査支援サービス」をご検討ください。
NECフィールディングでは、企業の抱える情報セキュリティリスクを的確に把握し、法律の施行や改訂、ICT技術の発展に合わせて適切なポリシー策定を行います。
また企業のセキュリティポリシーに沿った企業活動が行われているか、プロの視点で監査を実施できます。
情報セキュリティのリスク分析、セキュリティポリシーの監査など、企業のセキュリティ課題の解決策をお探しなら、NECフィールディングまでお問い合わせください。

▼関連サービス
情報セキュリティ内部監査支援サービス

まとめ

CISOは情報セキュリティの最高責任者であり、インターネットを利用する企業には欠かせない存在になりつつあります。サイバー攻撃やマルウェア感染、不正アクセスなど、企業はあらゆるセキュリティインシデントの脅威にさらされています。
セキュリティインシデントによる企業の機密情報漏洩を防ぐには、CISOの選出と企業に合った対策の実施が重要です。企業の情報セキュリティポリシーの策定、監査の方法にお悩みの企業担当者の方は、NECフィールディングまでお問い合わせください。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。