セキュリティ責任者にはコンピュータサイエンスの学位が必須？：Equifaxの個人情報流出事件で紛糾した議論

Equifaxの個人情報流出事件で、同社のCISO（最高情報セキュリティ責任者）が音楽の学位を修めていたことが批判を浴びた。情報セキュリティのプロフェッショナルがどのような教育を受けているべきか、専門家の見解は。

[Rob Wright，TechTarget]

　データ漏えい事件が見出しをにぎわせ注目を集め続けている中で、CISO（最高情報セキュリティ責任者）たちの職歴や学歴、取得している資格などといった経歴が白日の下にさらされるようになった。

　この出来事がきっかけとなり、情報セキュリティのプロフェッショナル、特にCISOがコンピュータサイエンスの学位を修めている必要があるかどうかに関する議論が巻き起こっている。この議論の直近の例として、2017年に大規模な情報漏えいを起こしたEquifaxのCSO（最高セキュリティ責任者）のケースが挙げられる。この信用格付け機関であるEquifaxのCSOであるスーザン・モールディン氏がコンピュータサイエンスではなく音楽の学位を修めた人物であることが報じられ、同氏には批判が浴びせられた。

　これ以後、コンピュータサイエンスの学位を持っていない情報セキュリティのプロフェッショナルが多く存在することが指摘されてきたが、国際情報システムセキュリティ認証コンソーシアム（ISC）²のCEOであるデイビッド・シアラー氏は「コンピュータサイエンスの学位は価値があることもあるが、必ずしもCISOに就任するための要件とする必要はなく、その他の教育や訓練のリソースを用いたり、職務経験を積んだりすることによって、特定の職務に必要なスキルが身につくこともある」と考えている。シアラー氏が話してくれたこの議論や、CISOとしての資格に関する彼なりの考えをここで紹介しよう。

デイビッド・シアラー氏のコメント

　EquifaxのCISOが音楽の学位を取得していたことを多くの人が非難した。非難には一理あるだろう。しかし、科学的に言って、音楽にはかなり数学的な側面がある。音楽は非常に分析的なのだ。

併せて読みたいお薦め記事

サイバー攻撃を恐れるITリーダーたち

• 2017年版「5つの最悪セキュリティ事件」から学んだこと
• サイバー攻撃を恐れるITリーダーたちの意外過ぎる現状認識
• 社長がセキュリティリスク？　調査で見えた“経営層の脆弱性”

セキュリティ人材不足にどう対処するか

• 機械学習が「セキュリティ人材不足」解消の“特効薬”になる？
• 「クラウドセキュリティ最高責任者」が次の花形に、求められるスキルとは？
• 過熱する「セキュリティ人材」獲得競争、困った企業の選択肢は？

　情報セキュリティのプロフェッショナルである人の多くは異なる経歴を持っている。私はそこを非難しようとは思わない。

　私はサイバーセキュリティの思想的リーダーとして、また（ISC）²のような組織の統括者として、CISOについてその周辺事情をよく知りもせずにCISOに責任を押し付けるのは早計ではないかと思う。ビジネスの慣例では、CSOは指揮権限や管理権限を持っていなかった可能性がある、という主張もあるようだ。

　個人的には、この（批判の）流れに乗って「彼女（スーザン・モールディン氏）にはCSOとしての資格がない」と言うのは気が進まない。私は彼女について、または彼女の周辺事情について十分に把握していない。今回の情報漏えい後に、信用情報の監視をするためとして、詐欺的なWebサイトを立ち上げたことに彼女が関わっていたのだろうか。Webサイトの利用者が同社に対して、どのような形であれ集団訴訟を起こしてはいけないと読み取れるようなWebサイト利用規約の責任者だったのだろうか。CISOの責任ではなかった可能性さえある。