はじめに
年々巧妙化、複雑化するサイバー攻撃。いまや大手企業だけでなく、中小企業もその標的となっています。サイバー攻撃への対策として情報セキュリティシステムや、それを管理できる専門組織の構築が重要となりますが、実施できている企業はまだ少ないというのが実情です。本記事では、企業におけるセキュリティ対策の統括責任者であるCISOについて解説します。
CISOとは
CISOは「シー・アイ・エス・オー」と読み、Chief Information Security Officer(最高情報セキュリティ責任者)の略称です。CISOは、企業内の情報セキュリティ部門の最高責任者として、セキュリティインシデントが発生した際、最前線でセキュリティ関連業務に携わるチームや責任者に指示・連絡をします。
CISOには、セキュリティインシデントに素早く対応するために経営層としての決断力や考え方と、技術者としての知見が要求されます。
CISOの役割
CISOの主な役割は、セキュリティ対策やリスク管理、セキュリティガバナンスの構築と運営です。
CISOは、平常時には情報漏洩防止策の立案・実行管理やシステムの保護、セキュリティインシデント発生時には対応チームへの指示や経営層・関係各所への報告と対応にあたるなど、組織のセキュリティ対策の統括を行います。
セキュリティ対策は万全に行うことが理想ですが、資金や人材など、対策にかけられる組織のリソースには限りがあります。そのため、リスクを明確にし、対応の優先順位をつけることで、最適な対策を選択することが必要になります。これがリスク管理です。また、リスクは組織の状況や新たな脅威の出現などにより変化するため、セキュリティリスクについては一度評価・対応して終わりにせず、適切に管理していくことも大切です。
セキュリティガバナンスの構築と運営は、経営層がセキュリティリスクを認識し、適切なリスクマネジメントとセキュリティ対策を組織として確実に実施する体制を構築・運用することです。結果として自社の事業価値の向上や事業推進につなげるために必要となる役割です。
CSIRT・CIO・SOCとの違い
情報やセキュリティに関連する記事では、CISOのほかにCSIRTやCIO、SOCといった用語もよく使用されます。どれもみな、企業や組織内に設置される情報技術に関わる役職や部門ですが、それぞれ役割が異なります。
CSIRTとは
CSIRTは「シーサート」と読み、Computer Security Incident Response Team(コンピュータセキュリティインシデント対応チーム)の略称です。CSIRTは、セキュリティインシデントが発生することを前提に作られたCISO直下の対応組織です。インシデント発生前は予防や被害抑制のために努めて、実際にインシデント発生時はその対処にあたります。
CSIRTについてはこちら
CSIRTとは?サイバー攻撃に備えた組織作り!SOCとの違いも解説もご覧ください。
CIOとは
CIOは「シーアイオー」と読み、Chief Information Officer(最高情報責任者)の略称です。CIOはマネジメント面でIT部門を管轄し、経営戦略の一部としてコストパフォーマンスの高い情報化戦略を策定し実行します。
CISOと名称が似ていますが、CIOはIT技術を用いて社内の業務効率の向上、企業の情報化戦略の提案などの役割を持っています。一方でCISOは、情報技術を利用する上でのセキュリティの管理をします。
SOCとは
SOCの読み方は「ソック」で、Security Operation Center(セキュリティ・オペレーション・センター)の略称です。SOCはCISRT同様にCISOの主導の元で実際にセキュリティインシデント対策を行います。CISRTは緊急時の対処がメインですが、SOCは、セキュリティインシデントを検知することに重きを置く組織です。24時間365日体制でネットワーク、サーバなど、ありとあらゆるシステムを監視し、インシデントを検知する体制を整えています。
SOCについてはこちら
SOCを強化し、サイバー攻撃に備えた組織作りを!の記事もご覧ください。
国内におけるCISOの設置状況
2018年12月に総務省が発表した「我が国のサイバーセキュリティ人材の現状について」によると、CISOを設置している企業は、従業員1,000名以上の企業において33.8%、全体では25.6%と低い数値にとどまっています。また、2021年4月に経済産業省とIPA(情報処理推進機構)が発表した「サイバーセキュリティ体制構築・人材確保の手引き」によれば、日本の企業はアメリカやシンガポールと比較すると、インシデントの発生をきっかけに情報セキュリティ対策を行っている割合が高いという結果になっています。事故を未然に防ごうと対策を講じておく企業よりも、実際に問題が発生してから行動に移す企業が多い傾向にあるようです。
セキュリティインシデントを100%防ぐ方法はありませんが、現在何も起きていないからと対策を講じなければリスクは増大します。経営層がセキュリティ対策の重要性を理解し適切に投資することで、多大な損失の回避につながります。
CISOが必要な理由
CISOが必要とされる理由として、近年、企業を取り巻くIT環境が大きく変化していることが挙げられます。サイバー攻撃は年々増加し、様々な企業や組織で被害が拡大しているため、セキュリティ体制の強化は急務です。その具体的な方法の一つとしてCISOの設置があります。
拡大するサイバー攻撃の対象と被害
かつてはスキルの誇示や嫌がらせを目的としたものが多かったサイバー攻撃ですが、近年では金銭目的による犯行が目立つようになりました。この「サイバー攻撃のビジネス化」によって、話題性がある大手企業だけではなく、大手企業の取引先である中小企業もサイバー攻撃のターゲットになっています。ターゲットとなってしまった場合、個人情報や企業秘密、知的財産などを盗まれる可能性や企業信頼の低下、事業停止など様々な経営リスクが生じます。
以上のことからも、サイバー攻撃によるリスクは経営層が全社的な課題として認識し、積極的に対策を講じる必要性が高まっていることが分かります。
セキュリティ体制の強化
前述のように、拡大するサイバー攻撃に対抗するためには企業のセキュリティ体制の強化は必須です。このとき重要になるのが、インシデントへの対応は迅速かつ的確な判断が可能な責任者が必要になるという点です。発生したインシデントへの対応方法について各担当者の意見を求めた場合、対応が後手に回ってしまい被害が拡大する可能性があるためです。
セキュリティ体制を強化するためにはもちろん技術的な知見が必要になりますが、経営的な知見・判断力も必要となります。しかし、現場でセキュリティ対応にあたっている技術者は経営への知見・判断力を持っているわけではないため、技術的に優れている人物をそのままリーダーにできるわけではありません。また、ほとんどの経営層は技術的な知見を持たないため、リスク管理をすることが困難です。現在経営層または技術者として成果を上げている人物を選ぶのではなく、経営的・技術的側面の両方を担うことができる人物をCISOに任命することで、自社に必要なセキュリティ対策やリスク管理などの技術的判断、それに伴う必要経費の計算や万が一セキュリティインシデントが発生した際の迅速で的確な経営的判断を可能にし、よりセキュリティ体制を強化することにつながります。
CISOの業務内容
組織をサイバー攻撃から守るためのCISOの通常業務には大きく分けて3つのフェーズがあります。
- 現状把握
- 運用状況の把握
- 経営層への報告
まずは、1点目の現状把握から解説していきます。
現状把握
セキュリティ計画の立案に先立って、まず初めにしなければならないのは自社のITシステムの把握と関係者の洗い出し、事件や事故への対応手順などです。把握すべき項目は多数ありますが、その中でも最低限必要だと考えられる項目とその内容を解説します。
業務とシステム・データの関連性の確認
社内で利用しているITシステムと業務内容との関連性を一覧にまとめます。適切なセキュリティ投資を行うためには、根拠のある数字の有無が鍵となるためです。同じ部署の中でも企画や開発、製造など業務ごとに分類してそれぞれの業務担当者・システム担当者を明記し、データの重要性と許容できる停止時間についてまとめることで、リスク分析の際の根拠となります。
外部関係者一覧の作成
インシデント発生時のような緊急時に備え、連絡を取る可能性がある外部の関係者をまとめた一覧表を作成することも重要です。緊急時には法的な対処が必要になる場合や、所轄の省庁などへの報告も必要な可能性も考えられます。例えば、2022年4月から施行となった個人情報保護法改正により、サイバー攻撃などの不正行為によって個人情報が流出した場合は個人情報保護委員会への報告を行う義務があります。そのため取引先だけでなく、顧問弁護士や関係省庁・団体の連絡先も一覧にまとめておくと良いでしょう。
ただし、連絡先を記載する場合は保管方法に注意し、閲覧は権限のある者のみが行えるよう、規則について検討する必要があります。
事件や事故の対応手順
事件や事故への備えがまだ定まっていない場合、対応手順を迅速に検討する必要があります。本来、対応手順は詳細に決めておくことが理想ではありますが、セキュリティインシデント発生時の対応者や法的判断が必要な場合の対応、ウイルス感染時の処置の優先順位など、まずは最低限の対応内容を決めておくと良いでしょう。
関連業務規程などとコンプライアンス対応状況
どの企業も、対応・遵守しなければならない法律や条例などがあります。これらに対し、どのような社内規定があるか、対応はどうなっているかなど現状をまとめます。業種や地域など企業によって様々な規定があることと思いますが、セキュリティインシデントと関わりが深い個人情報保護法やGDPR(一般データ保護規則)などについては、特に確認すると良いでしょう。
運用状況の把握
対策や運用の手順が適切に行われているか、そもそも対策は自社の状況に適切な内容となっているのかを判断するためには、日々の運用状況を把握し、異常を探す作業をする必要があります。重大なインシデントの陰には、その数倍の軽微な事故や事故寸前だった異常が隠れています。運用状況を把握し、小さな異常を早期発見・対処することで、情報漏洩やウイルス感染などのインシデントを防ぐことにつながります。
計画実施状況の把握
セキュリティ計画をより自社の環境・状況に適した内容にするため、また、従業員のセキュリティに対する意識を確認するため、日々の運用の中でセキュリティ計画が適切に実施されているかを把握することは大切です。把握が推奨される項目には、ウイルス・スパムの検知状況、システムエラーなどの障害の発生状況、セキュリティポリシーなどのルールの順守状況、情報システム部門への依頼事項、情報システムに関わる障害の発生状況などがあります。
事件や事故の把握
インシデントが起こることは稀ですが、小さな事件や事故は多くの企業で日常的に発生しています。先に述べたように、小さな事故などを見つけ出して一つ一つ解決していくことももちろん重要ですが、再発防止策を練ることも重要です。具体的には、業務プロセスを明確化し、手順を記録することで、もし問題が発生した場合はどこに問題が起きやすい手順があったのかを見直し、再発防止策を検討・実施するというサイクルが理想的です。
経営層への報告
情報システム部門やセキュリティ部門は、売り上げや営業利益などで数字として成果を表すことができる事業部門などとは違い収益をあげているわけではないため、目に見える形で成果を表すことは難しい現実があります。
そのため、経営に沿った業務を行っていること、また企業にとってメリットがある業務を行っていることを具体的に、目に見える形で周囲に伝える必要があります。その手段の一つとして挙げられるのが周囲への、特に経営層への報告となります。
週次報告
週次報告は経営層への報告というよりも関係者への連絡という意味合いが強いですが、一週間の出来事・業務をまとめることで、日頃どのような業務を行っているのかを関係者内で共有することができ、認識を合わせることにも役立ちます。
週次報告の内容としては、事件や事故などの特記事項、ウイルスの検知状況などのモニタリング項目、セキュリティ計画の進捗状況、先週のアプリやソフトウェアの新設などITに関わる計画的な作業、今週の作業、他社の事件・事故の周知などがあります。
月次報告
経営層に向けた月次報告は可能な限り行います。
報告内容は週次報告とほぼ同じ項目をまとめます。このとき、セキュリティ計画の進捗状況はプロジェクトと予算についてより詳細に記載すると、今後の追加計画について伝える際に具体的な根拠となります。
四半期から年間の報告
四半期から年間の報告は、基本的に月次報告の延長となります。ただし、セキュリティ対策は目に見える形で成果を報告することは難しいので、予実管理と改善案を意識してまとめることが重要です。そのため、PDCAサイクルのC(Check=定量的なデータによる自己評価)を意識した内容となるようにまとめ、それらを踏まえて必要だと考えられるA(Action=改善)として何をどのように改善・向上させていくか見通しを立てます。
報告の内容としては、月次のまとめ、修正が必要だと考えられる計画について、計画の改善・向上案などが挙げられます。
緊急時の報告
どれだけ念入りなセキュリティ対策を講じていても、インシデントが発生してしまう可能性はゼロではありません。インシデントが発生してしまったとき、混乱することも慌ただしくなることもある現場では状況把握に多く時間を取られてしまい、報告は落ち着いてからと後手に回ることもあるでしょう。しかし、仮に状況が全て明らかになっていなくても、最悪のケースを想定して経営層には待機してもらうなどの対応をしてもらうため、まずは一報を入れることが大切です。このとき、伝える内容は5W1H(いつ、どこで、だれが、何を、なぜ、どのように)の各項目と、情報をはじめとした資産へのおおよその影響度についてです。ただし、「なぜ」「誰が」はすぐには分からない場合も多いため、この時点では究明を急ぎません。
緊急事態には、先の項目で作成した「事件や事故の対応手順」に沿って対応するため、この手順書に緊急時の報告についてもまとめておくと良いでしょう。そして、うまくいった点は現状維持またはさらなる改善、うまくいかなかった点は改善やそもそもの手順の見直しをするなどして、「事件や事故の対応手順」に反映します。
CISO設置と運営するうえでの課題
CISOの設置と運営をするうえで課題として挙げられるのが、インシデント対策だけでなく事業貢献もCISOに求められる役割ですが、実際に事業に貢献できているCISOはまだ少ない点と、CISOを助けるためのセキュリティ人材が不足している点です。
CISOが事業貢献する環境が整っていない
CISOは、本来セキュリティ対策だけでなく、経営の視座や決定権を持ち、情報セキュリティに関する技術的知識を踏まえてDXやIT活用を推進すべき役職です。しかし、CISOの業務への理解が十分ではなかったり、役割に必要な権限がCISOに与えられていなかったり、事業を理解したうえでサイバーリスクを捉えられなかったりと、様々な理由でCISOがただの対策屋になってしまい、積極的な事業貢献を果たせていないケースが多いのが実情です。この課題を解決するには、CISOだけでなく、経営層やセキュリティ関係部門の従業員など多くの社員がCISOの役割について認識を共有する必要があります。
CISOを助けるセキュリティ人材が不足している
CISOの運営を成功させるためには、CISOの指示のもとで実務を担当するセキュリティ組織の設置も不可欠です。しかし、CSIRTやSOCといった対策実働組織を、全て社内人材だけで新設するのは難しいのが実情です。そこで、独立した業務である「ログの監視や分析」を担当するSOCは一時的にアウトソースの活用を検討し、並行してセキュリティに関わる人材を育成するなど、セキュリティ人材の不足をどう解消するかについて、企業として戦略を立てましょう。
まとめ
本記事では、企業におけるセキュリティ対策の統括責任者であるCISOについて解説しました。企業の規模や事業内容に関わらずセキュリティリスクがある昨今では、より高度なセキュリティ対策を施すため、CISOをリーダーに情報セキュリティ組織を設置し、適切に運用することは非常に重要です。
セラクでは、日々のセキュリティ対策における運用・監視を行っています。高度な専門性を持つセキュリティ技術者による情報セキュリティ組織の運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。セキュリティ組織の強化をご検討の際は、24時間365日体制での運用や外部からの攻撃対策も含めた多種多様なシステムの運用実績を持つセラクにお任せください。
