CIOを補佐するセキュリティ監督者の育成を――シマンテックが提言：ITの事故を起こさないために

企業活動に占めるITの重要性が増し、「万が一の事故に備えて専任で活動する権限を持った情報セキュリティ担当者を設置すべき」とシマンテックは提起する。

[國谷武史，ITmedia]

　シマンテックは3月5日、企業が抱えるITリスクに関する記者説明会を開催し、情報セキュリティ対策を専任で担当する監督者「CISO」Chief Information Security Officer＝最高情報セキュリティ管理責任者）の企業への導入を呼び掛けた。

ラスカウスキー氏

　CISOとは、顧客情報など重要な電子データの漏えいや社内システムへの不正アクセス、システム障害といった企業のITが関係する事件や事故のリスクへ専門的に対処する職務。説明したグローバルコンサルティングサービス担当執行役員のテルミ・ラスカウスキー氏によれば、CISOは経営層に近い立場で情報セキュリティ活動を指揮し、社長やCEOなどへの進言やCIOの業務を補佐を行う。セキュリティの観点で現場部門と経営層をつなぐ役割を果たす。

　こうした立場の役職は、米国では大企業を中心に導入が進みつつあるものの、国内企業で設置しているケースはほとんどないという。実際にはシステム部門や総務部、法務部、監査部などの現場社員もしくは一定の権限を持った上長などが、ほかの業務と兼ねながら担当しているのが実情だ。

　CISOの必要性について、ラスカウスキー氏は企業活動に占めるITの重要性が高まったことやITシステムを統括するCIOの役割が多岐にわたることが背景にあると指摘。一方で、企業のITシステムの複雑性が増したことで、情報漏えいやシステム障害などの発生する確率が高まり、専任でITが関与するリスクへ対応する人材が求められつつあるという。

　「CISOには、経営への理解や技術知識、リスクを見抜く洞察力、コミュニケーション力などの能力が求められる。リスク全体を適切に捉えて経営層へ必要な情報を提供し、現場に必要な指示を与える」（ラスカウスキー氏）

リスクの内容ごとにリスクレベルを算出して、それぞれのリスク内容について対応プランを決めていく

　同社が参加した最近の調査から、情報漏えい事故での対応コストが年間売上高に占める割合は、対策を有効的に実施している企業で0.4％だったものの、対策ができていない企業では9.6％だった。有効的に対策を実施している企業は、CISOの設置など含めて経営層がリスク対策へ積極的に関与していることや、経営への影響度に応じたリスク対応のマニュアル化と評価、アクセス権限の変更管理の徹底といった内容を実行していた。

　「最近では世界的な不況で人員削減が広がっているが、退職した人間が会社に不満を抱えていると重要なデータを故意に持ち出すというがリスクも浮上している」（同氏）

　これらの点から、ラスカウスキー氏は国内企業にもCISOの導入が必要になると提言する。しかし、権限を持つ情報セキュリティ専任者という概念自体が浸透していないことや、CISOを務める人材のキャリアパス（職務経歴）が明確ではないこと、CISOの活動評価をどのような基準で行うのかといった課題が数多く残る。

　ラスカウスキー氏は、「米国の場合、MBA（経営学修士）のカリキュラムに情報セキュリティが加わるなど、企業経営に情報セキュリティの理解が必要不可欠なものとする意識が広まりつつある。国内では情報セキュリティへの理解が乏しいケースやセキュリティを担う人材が少ないといった課題もあり、セキュリティの重要性を理解してもらう取り組みが欠かせない」と話している。

過去のセキュリティニュース一覧はこちら