実はCEOよりも大変？ サイバー攻撃対応だけではないCISOの役割とは

CISOはサイバーセキュリティの責任者だ。企業組織をサイバー攻撃から守ることが主な業務だ。だが、北米や欧州、日本などを対象とした調査によれば、次第に責任の範囲が広がっているという。

[Matt Kapko，Cybersecurity Dive]

　CISO（最高情報セキュリティ責任者）はサイバーセキュリティの責任者であり、企業組織をサイバー攻撃から守ることが主な業務だが、北米や欧州、日本などを対象とした調査によれば、次第に責任の範囲が広がっているという。

セキュリティ以外の何に責任を持つのか

　CISOの業務に対する要求と複雑な脅威の状況に応じて、2022年以降、CISOに対してこれまでになく技術分野の学識と経歴が求められるようになってきた。

　エグゼクティブサーチとリーダーシップアドバイザリーのサービスを提供するグローバル企業Marlin Hawkでパフォーマンスと成長のマネージングパートナーを務めるジェームズ・ラーキン氏は、サイバー攻撃による侵害や国家による支援を受けた攻撃、ランサムウェア攻撃などの重大リスクは、企業のガバナンス構造全体でより明白になっていると述べた。

　「『このような攻撃を誘発するような、デジタル領域内に存在するアーキテクチャ内のギャップを理解できる技術力のあるCISOを採用する』ことが、企業のリーダーに強く求められている。CISOの採用では、いわゆるリスクを冒すべきではないという一般的な感覚がある」（ラーキン氏）

　技術的な能力が重視されるようになったことは、CISOが担う責任範囲の拡大を反映している。従来のセキュリティから、エンジニアリングやビジネスリスク、業務回復力、製品設計、テクノロジーアーキテクチャなどの分野にまで責任が拡大している。

　「今持っているものを守るだけでなく、あるべき姿や今後構築するものを準備する方向に議論が向かい、CISOもそれに加わらなければならない」（ラーキン氏）

組織を防衛しつつ複合領域に責任を持つCISOの困難な役割

　もちろん、組織防衛がCISOの中心的な役割だということに変わりはない。

　Jack Henry & AssociatesのCISOであるヨネシー・ヌニェス氏はレポートの中で、「組織を積極的に守ろうとしないのなら、CISOという肩書を持つべきではない」と述べている。

　困ったことにCISOの複数の役割には共通点がほとんどないため、経営幹部の中でも難しい役職であり、重要性が増し続けている。

　「CISOはインフラストラクチャとテクノロジーコンポーネントに対してより大きな影響力がある」と、Neiman Marcus GroupのCISOであるシャモン・シディキ氏はMarlin Hawkのレポートで指摘する。

　「サイバーセキュリティとインフラの統合は、情報セキュリティとインフラという2つのサイロの間に歴史的に存在した唯一最大の争点を解決する」（シディキ氏）

CISOに求められる役割に応じて、求められる資質が変わってきた

　Marlin Hawkが2022年12月13日に発表したレポートによれば、「科学、技術、工学、数学」（STEM）の大学院学位を持つCISOは、2022年に初めて経営学やマネジメントの上級学位を持つCISOを上回った。

　大企業のCISOの5人に3人以上がSTEMの上級学位を取得しており、2021年比15ポイント増となった。STEM科目で高等学位を取得したCISOと経営学で高等学位を取得したCISOの数は2021年には互角であり、それぞれ46％を占めた。

　Marlin HawkのCISOに関する年次調査（注1）によると、2022年にはより技術的な教育背景を持つCISOの数が増加した一方で、経営学またはマネジメントの大学院学位を持つCISOが占める割合は合わせて36％に減少した。Marlin Hawkの報告は、北米と欧州、日本を含むアジア太平洋地域で従業員数1万人以上の企業に所属する470人のCISOを対象にした調査結果に基づく。

出典：CISOs are becoming more technical（Cybersecurity Dive）

注1：Global Snapshot: The CISO in 2022