あなたの会社に「CISO」は必要なのか？

社内にCISOを置く必要はあるのだろうか。優れたリーダーを確保することは、常に成功の要素だ。こう考えると、サイバーセキュリティを確立するためにCISOの「役割」は必要だろう。次の質問はこうだ。CISOに適した人材をどこから確保すればよいのだろうか。

[畑陽一郎，キーマンズネット]

　CISO（最高情報セキュリティ責任者）は、どのような企業であっても必要な役職なのだろうか。必要がない場合はどうすればよいのだろうか。必要な場合はどこから人材を確保すればよいのだろうか。

　バーチャルCISO（vCISO）サービスを手掛けるFractional CISOは2022年10月13日、この疑問に答えた。Fractional CISOはどのようなチャレンジであっても、リーダーが欠かせないという点から始めた。

　スポーツチームのコーチは、チームの成績に対して高いオーナーシップを持ち、コーチの成功はチームの成功に結び付く。失敗すれば責任を問われるが、その分成功の報酬は高い。優れたコーチがチームのパフォーマンスを管理することで、チームはより良い結果を残すだろう。

　サイバーセキュリティの分野でも同じだ。プログラムのオーナーは、成功や失敗に責任を持つ。つまり、プログラムを成功へと導くことがプログラムオーナーの役割だ。

　セキュリティリーダーであるCISOは組織のサイバーセキュリティに関するあらゆることを担当する「Cレベル」の上級管理職だ。

　セキュリティオーナーの肩書はCISO以外にもある。組織の規模によっては他の管理職の方が適切な場合もある。セキュリティオーナーを持つことが重要だということと比較すると、CISOの肩書はそれほど重要ではない。

CISOは必要なのか？

　組織の規模によって、CISOが必要な場合とそうでない場合がある。大企業にはCISOが必要だが、ほとんどの中堅・中小企業では、CISOを担う人材がいなくてもサイバーセキュリティプログラムを運営できる。

　運営担当者はCTO（最高技術責任者）などの既存のリーダーの場合もあれば、vCISO（仮想の最高情報セキュリティ責任者）など外部からの支援という形を取る場合もある。それぞれのアプローチには長所と短所がある。これについては記事の後半で説明する。

　CISOがいるかどうかにかかわらず、組織にはプログラムを主導できる「コーチ」が必要だ。

サイバーセキュリティオーナーがいれば、目標を達成可能

　多くの中堅・中小企業にはサイバーセキュリティに携わる従業員（多くの場合、IT担当者）がおり、多要素認証など何らかのサイバーセキュリティ対策を実施しているだろう。しかし、多くの場合、対策が散在しているか、またはその場しのぎになっている。

　この場合、タスクに優先順位を付け、リソースをそろえ、実施を指導できるリーダーが管理するプログラムは存在しない。中堅・中小企業では、リソースが効率的に使われず、大きなセキュリティギャップが見過ごされている可能性は高い。結局のところ、このような状況では、セキュリティを包括的に見ることは誰の仕事でもないのだ。

　IT担当者ではなく、サイバーセキュリティオーナー（担当者）を置くことで、セキュリティの目標を設定し、達成するための計画を立て、リソースを効率的に使って仕事をこなすように動機付けできる。担当者はギャップを探したり、他の誰かに実行を促したりする。

　情報システムに関する内部統制に不可欠な「SOC 2」（System and Organization Controls 2）や「ISO 27001」について経営陣と責任者が密にやりとりをすることは珍しくない。企業にとって重要な課題だからだ。サイバーセキュリティオーナーと経営陣の関係はそれと同程度に重要になってきている。

オーナー不在のコンプライアンスで十分なのか？

　取引先となる大企業のベンダーマネジメントチームが、あなたが提出したSOC 2報告書を受け取り、読んだとする。数日後、問い合わせがあるだろう。

「あなたの会社のサイバーセキュリティの責任者は誰ですか」

　彼らは具体的な名前と肩書を求めている。悔しいことに、あなたの会社にサイバーセキュリティリーダーはいない。SOC 2の取得と維持を支援するプロジェクトチームは結成されたが、サイバーセキュリティプログラムそのものを所有する人は誰もいない。

　取引先の大企業が求めている情報は正当なものだ。サイバーセキュリティプログラムに適切な責任を持つ担当者がいることが、自社にとってより良いセキュリティにつながると考えているからだ。サプライチェーン攻撃は弱い鎖（取引先）を狙うことを考えると、もっともな要望だろう。彼らの要求を聞き入れ、責任者を置くことは賢明だろう。

誰をサイバーセキュリティオーナーにすればよいのか

　では誰をサイバーセキュリティオーナーにすればよいのか。それには、幾つか異なる方法がある。どの方法を選ぶかは、恐らく企業やサイバーセキュリティプログラムの規模に依存する。サイバーセキュリティには、万能の解決策はないからだ。

CISOを雇うことのデメリットは

　最も明白な答えは、CISOやセキュリティディレクターなど、サイバーセキュリティプログラムのオーナーシップを持つ専任のリーダーを雇用することだ。しかし、この方法は欠点もある。

　フルタイムのサイバーセキュリティリーダーを雇用するには、数カ月かかることがある。さらに、CISOの平均在職期間はわずか2年程度と短い。責任が重く、労働時間が長いこと、さらに引き合いが多いことも理由となる。中堅・中小企業にとって、短期間CISOを雇用して維持するための高いコストは、心もとないものだ。

　この他、サイバーセキュリティプログラムに専任のリーダーが必要でない場合もある。専任のCISOが必要ない場合、あるいは法外なコストがかかる場合は、適切なリーダーを社内で探すことを検討しよう。

社内の人材を選ぶとどうなるか

　中小規模の企業では、専任のサイバーセキュリティリーダーが必要ない場合もある。社内の誰かに業務を引き継ぐことができるかもしれない。

　CTOやITディレクター、ITマネジャーなど、サイバーセキュリティプログラムのオーナーシップを発揮するのに必要な技術力やリーダーシップ、コミュニケーション能力を備えた人材が社内にいる可能性はないだろうか。このような人物は、サイバーセキュリティプログラムの運営に優れた役割を果たす強力な候補者となるだろう。

　このアプローチにも欠点がある。これらの人々がすでに重要なフルタイムの仕事を持っていることだ。中小規模の組織でサイバーセキュリティを実行するのはフルタイムの仕事ではないかもしれないが、これらの人材が、既に与えられた以上の仕事を引き受けられるとは限らない。

　同様のアプローチとして、内部からの昇進がある。リーダーシップを発揮する準備ができていて、サイバーセキュリティに関心のある従業員がいる場合、その従業員にプログラムのオーナーシップを与える。従業員はプログラムとともに成長できる。

　パートタイムのサイバーセキュリティニーズに低コストで対応する別のアプローチとして、vCISOがある。

vCISOを雇うメリットは

　vCISOは必要に応じてサイバーセキュリティのリーダーシップを発揮するために組織に追加できるサービスだ。vCISOはトップクラスのサイバーセキュリティ専門家であり、過去に常勤のCISOであった可能性のある人物で、常勤のCISOと同じ仕事を、より柔軟で効率的に実行できる。vCISOのサービスを「CISO as a Service」と呼ぶこともある。

　vCISOサービスの提供者には、さまざまなタイプがある。単独の請負業者やコンサルタントという場合もあれば、マネージドサービスプロバイダー（MSP）が自社のサービスとともにvCISOを提供している場合もある。さらには、こうしたサイバーセキュリティリーダーシップサービスのみを提供するvCISO専門企業も存在する。

　vCISOサービスを受けるためのコストは、2万ドルから20万ドル以上と幅がある。vCISOに求めるサービスの種類と組織の規模に価格が依存するからだ。

　vCISOは人材の余力や資金、専任のサイバーセキュリティリーダーを必要としない組織にとって良い選択だろう。CTOなどのフルタイムの仕事をすでに持っている多忙な責任者から、セキュリティ業務を肩代わりできるからだ。

　ただし、フルタイムのサイバーセキュリティのニーズがある組織では、フルタイムのCISOがより適している。

コーチなくしてチャンピオンチームは成り立たない

　有力なスポーツイベントで優勝するには、優秀なコーチが不可欠だ。同じように一流のサイバーセキュリティチームやプログラムは、優れたコーチなしには完成しない。

　コーチにはさまざまな形態や肩書があるだろう。だが、サイバーセキュリティプログラムのオーナーシップに専念している限り、チームを成功に導くことができるだろう。