巨大組織・イオンCISOに学ぶセキュリティ戦略術 “ルールと実務のギャップ”から目を逸らさない！ ＜経営と現場をつなぐ｢現実解｣とは＞　

セキュリティはプロフェッショナルな知見が必要なので社外から来てもらうのは理解できますが、一般的にセキュリティを強化すると利便性が落ちるものなので、セキュリティだけをミッションとしてその強化に重きを置いてしまうとうまくいかないおそれがあります。

CxOの方々にはそれぞれ専門領域があるものの、いろいろな社内の事情を踏まえてどこまでやるのが最適なのかを考えることが大事ですので、総合的に判断ができるという意味では社内の人材のほうがいい場合もあります。例えば、インシデントが発生したときにシステムを止めるかどうかを判断するには、システム停止が自社の事業に与える影響を理解できている必要があるためです。なので、社外CISOを招く場合でも社内人材との連携は非常に重要になると思います。

――CISOになるための資格はとくにない状況ですが、CISOに求められる資質には何があると感じていますか。

セキュリティの基本や、それに関わるIT技術は理解していたほうがいいと思います。サイバー攻撃の原因を理解できれば適切な防ぎ方もわかります。また、例えばグループでセキュリティのガバナンスを設計する場合には、ほかの経営層や事業の方への説明責任を負いますので、それをわかりやすく説明できることが求められます。

ただ、セキュリティの知識があるからといってマネジメントの資質がない人をCISOにすることは避けるべきでしょう。組織の長として管理ができなければ、チームがうまく動かず機能しなくなってしまいます。

中小企業は「外部のセキュリティの専門家」を活用する

――中小企業ではCISOを設置する余裕がないケースもあります。どのようにしていくべきだと思いますか。

CIOとのセットがやりやすいと思います。CIOであれば、セキュリティではない一般的なITガバナンスを担当していると思いますし、ITとセキュリティはセットにしたほうが進めやすいでしょう。小規模の企業ほど専任人材を配置するのは難しいと思いますので、どこを外部に委託するかをリソースやスキルセットを基に考えて、どこまで内部でやるのかを決めておくとスムーズでしょう。

――最後に経営層の方に対してメッセージをお願いします。

攻撃者は明確に企業を狙っていますので、事業継続性へのリスクは非常に高まっています。セキュリティを経営課題として取り組むという点においてCISOの設置は重要。たとえ兼務でもセキュリティの責任者を明確に示すことが大事です。サイバー攻撃を受けた後で、セキュリティの対策が不十分だったことを後悔しないためにも、事前に力を入れて取り組んでいただければと思います。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、吉澤 亨史さんの最新記事をメールでお知らせします。