CISOが有能かどうか確かめる「5つの質問」

自社の最高情報セキュリティ責任者CISOが有能かどうかを調べるにはどうすればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　企業は絶え間なく続くサイバー攻撃に対処しなければならない。そのためには司令塔になるCISO（最高情報セキュリティ責任者）が有能でなければならないだろう。

CISOが有能かどうか確かめる「5つの質問」

　CISOが有能かどうかを決める要素は何だろうか。それを確かめるための質問が5つあるという。

　Googleの子会社でサイバーセキュリティに特化したMandiantのケビン・マンディア氏（創設者兼元CEO）の意見が参考になる。

　同氏は企業のCEOや取締役から「CISOの能力をどのように評価すべきか」という質問をよく受けるという（注1）。マンディア氏は経営幹部に対して、CISOの気質を見極めるようにアドバイスしている。

　マンディア氏は「そのCISOはセキュリティ思考を備えているだろうか」と問いかける。コロラド州デンバーで開催されたカンファレンス「Mandiant Worldwide Information Security Exchange」の基調講演において、同氏は「それがなければ、優れたセキュリティプログラムを構築できないだろう」と述べた。

　組織は非対称な状況でサイバー脅威に直面する。つまり攻撃側はいつでも襲いかかることができるが、防御側はいつ攻撃が飛んでくるのか分からない。

　そのため経営者や取締役会はセキュリティリーダーの管理スキルや技術を深く掘り下げて検討する余裕があまりない。多くの組織にとってサイバー脅威はあまりに強大であり、影響が少ない対策に時間を割く余裕がないからだ。

　「サイバー領域には抑止力がほとんどない。私たち企業側はサッカーのゴールキーパーのようなものだ。（だがサッカーと違うところもある）攻撃者は安全な場所からペナルティーキックを無制限に繰り出してくるのだ。これは非常に不利な状況だ」（マンディア氏）

　マンディア氏によると、（攻撃的サイバー戦術は国家や政府機関の役割で）企業は攻撃に対して反撃するする手段を持っていないのが通常だという。同氏は「防御について常に思考を巡らせて、絶え間ない猛攻撃に耐える方法について考えなければならない」と述べた。

マンディア氏が作り上げた5つの質問とは

　マンディア氏は数十年をかけて、経営幹部や取締役会のメンバーがCISOの職務遂行能力を信頼すべきかどうかを確認するために活用できる5つの質問を作成した。

（1）あなたが攻撃するとしたら、当社にどのように侵入するか。当社の弱点はどこにあるのか
（2）当社にとって最悪のシナリオはどのようなものか
（3）最悪のシナリオが発生した場合、あなたはどう行動するのか
（4）当社の回復力はどの程度か。当社のシステムやアプリケーションの復旧にはどのくらいの時間がかかるか
（5）あなたは何を必要としているのか

　現在、「Google Cloud」で戦略的セキュリティアドバイザーとして活動しているマンディア氏は、CEOはこれらの質問に対するCISOの反応に注目すべきだと述べた。

　「CISOが質問にどのように回答したか、その内容は問題ではないと私はCEOに伝えている。重要なのはCISOが実際に答えを持っているかどうかだ。答えを持っているということは、少なくともセキュリティ思考を備えていることを意味するからだ」（マンディア氏）

出典：Kevin Mandia’s 5 question confidence test for CISOs（Cybersecurity Dive）
注1：Kevin Mandia to step down as CEO of Mandiant on May 31（Cybersecurity Dive）