「CISO」というセキュリティリーダーの作り方（1/3 ページ）

企業や組織の“デジタル化”が進む中でセキュリティリスクも高まる。ガートナーでセキュリティやリスク管理分野を担当する石橋正彦氏は、セキュリティを取締役レベルで担うリーダーの必要性を提起する。

[國谷武史，ITmedia]

　Gartnerは、クラウドやモバイル、ビッグデータ、IoT（モノのインターネット）などに代表されるテクノロジートレンドをビジネスに取り込み、新たな価値や成長を創造する「デジタルビジネス」が、もはや企業や組織にとって不可欠なものだと指摘する。ただ、「デジタルビジネス」にはセキュリティなどのリスクも伴う――。

　ガートナー ジャパン リサーチ ディレクターの石橋正彦氏は、7月13日にスタートした同社主催の「セキュリティ & リスク・マネジメント サミット 2015」の基調講演で、企業や組織にデジタルビジネスのリスクに備える必要性を提起した。その鍵を握るのが「CISO」（最高情報セキュリティ責任者）と呼ばれるセキュリティリーダーの存在だ。サイバー攻撃などによる情報漏えい事故などが相次ぐいま、企業や組織のセキュリティ対策が十分に機能しない背景の1つに、セキュリティリーダーの不在が挙げられるという。

　同社による「デジタルビジネス」の定義は、（1）デジタル化された資産やデジタル化の能力を使って創造されるビジネス、（2）デジタルな商品、サービス、顧客体験を含むビジネス、（3）デジタルなチャネル、コミュニティを通して遂行されるビジネス――という。ビジネスのスピードを格段に向上させ、従来にはない価値を創造したり、収益機会などを生み出したりする。そのメリットに潜むリスクに対処しなければ、デジタル化による恩恵を享受できなくなるかもしれない。

　「例えば、かつては企業や組織から情報を盗み出すのに数カ月を要したが、現在では1日以内となり、盗まれるデータ量も数Mバイトから数テラバイト規模にもなる。時間や量の観点でもリスクが高まっており、さらにはIoTに代表されるような規模のリスクもある」（石橋氏）

　石橋氏は、6月に発覚した日本年金機構での情報漏えい事案が、ビジネスのデジタル化によるリスクの顕在化を示す一例だと解説する。この事案では堅牢なセキュリティ対策が講じられた年金機構の基幹システム（社会保険システム）からではなく、マルウェアに感染した業務端末から情報が漏えいした。「企業では基幹システムなどのビッグデータデータをマイニングするシステムの導入や利用が進んでいるが、そこから情報が漏えいする事態が生じ始めている」。

セキュリティリーダーが必要な理由、出典：ガートナー（2015年7月）

　セキュリティ対策では一般的に、個別のリスク内容に応じた方法がとられやすい。だが、企業や組織のIT環境が複雑であるようにサイバー攻撃などのリスクも複雑化しており、石橋氏はリスクの内容を理解するだけではなく、経験に基づいたセキュリティ対策を実践する“リーダー”が必要だと指摘する。