巨大組織・イオンCISOに学ぶセキュリティ戦略術 “ルールと実務のギャップ”から目を逸らさない！ ＜経営と現場をつなぐ｢現実解｣とは＞　

規模の大きさに加え、セキュリティのルールもかなり厳しい内容で「これを実務で完全に守るのは困難かもしれない」と感じたのです。では、どこがなぜ守られていないのか、把握して理解することから始めました。

――セキュリティのルールはあっても、やはり実務でそれを完璧に守るのは難しいというギャップですね。これを埋めるためにどのような工夫や調整をされているのでしょうか。

正直なところ、完璧にはなかなか埋まらないと思っています。IT環境などを1つにできればやりやすいのですが、イオングループはそれが難しい。とはいえ工夫の余地はあり、主に2つのことに取り組んでいます。

1つは、監査とうまく連携することです。とくにイオンは監査が強い会社。会社ごとに異なるIT・セキュリティについて、ルールに沿っているかをセキュリティチームが深く入り込んでチェックすることはリソースの側面から難しい。しかし監査は深く入りますから、私たちが作ったルールを監査の方にも共有して理解していただき、監査をしてもらうことでセキュリティルールの徹底につながると考えています。

もう1つは、既存のアセスメントを強化することを考えています。アセスメントの結果が国内と海外で二極化していると感じているため、今はアセスメントを強化しようと考えています。国内のIT要員が豊富なグループ会社だと簡単にクリアできても、海外の小さい会社だと難しいのです。アセスメントのレベルを低いレベルに全社合わせるのではなく、会社単位ではなくシステム単位でランダムにチェックするなど、IT資産を多く持つ会社に対してアセスメントを強化するなどの強化策を検討しているところです。

技術だけではダメ。CISOに必須の資質とは

――ここから一般的なCISOに関してうかがいます。まず最近は経済産業省のガイドラインなどでもCISOについて書かれていますが、まず企業にCISOが必要な理由について教えてください。

例えば、最近流行しているランサムウェアに感染すると、企業に与える経営インパクトが非常に大きくなります。そのリスクを正しく認識して経営レベルで対策に取り組むために、CISOを置くことは必要です。

セキュリティが経営陣との話題の1つになるべきですし、それをリードする人も必要になるわけです。セキュリティにコストをかけることはリスクの低減につながりますので、株主も含めて社外に説明できるレベルで対策することは大事でしょう。

――CISOを設置する企業は増えている印象ですが、やはり人材の関係などで社外CISOを招くケースも多いと感じています。社外CISOについてはどう思われますか。