「CISO」というセキュリティリーダーの作り方（2/3 ページ）

[國谷武史，ITmedia]

　石橋氏がセキュリティリーダーの必要性を提起するもう1つの理由は、企業や組織が経営レベルで持続的なセキュリティ対策に取り組めるようにすることの重要性からだという。

　というのも、例えば、ある脅威が経営レベルで問題視された場合、リーダーのいない組織では現場寄りの人材が経営層を説得させないといけない。セキュリティに詳しくない経営層は、「絶対に守れる」という方法を要求しがちだ。しかし、セキュリティ対策に“絶対”は存在しない。その“真実”を経営層に理解してもらうには、同じ経営の立場からセキュリティについて発言できる人材が必要になる。

ガートナー ジャパン リサーチ部門リサーチ ディレクターの石橋正彦氏

　「海外では既に製品や技術よりも、人を重視したセキュリティが注目されている。『この対策なら大丈夫』というのではなく、リスクベースでセキュリティを考えられる人材が求められている」（石橋氏）

　いまセキュリティリーダーの人材に求められる要件は、ユーザー企業を支援するベンダーやSIerでは技術力など専門性が重視される。一方、ユーザー企業では経営層に対して説明ができるコミュニケーション能力になる。技術的な内容よりも、予算や人員といった資源について経営層と同じ感性で話をできることが求められる。

　なお、その現状はまだ厳しいという。ガートナーの調査によれば、多くの企業が4人以上のセキュリティ担当者を配置してはいるものの、その大半が他の仕事と兼務しており、肩書を持たない担当者も多い。ただし、既に「CISO」の肩書や「情報セキュリティ委員長」といったリーダー的な立場の人材も出始めている。

　ユーザー企業が情報システム部門を設置するようになって20年近くが経過し、社内あるいは企業グループの中でセキュリティ業務を担当してきた人材は多い。つまり、セキュリティリーダーの候補となり得る人材は既におり、予算や権限、発言力を持つことができれば、セキュリティリーダーを担える可能性がある。

　石橋氏は、「2016年以降はCISOやセキュリティ事故に対応するCSIRTが増えていくだろう。CEOやCIOがCISOを任命し、予算と権限を持たせ、取締役会で発言できるようにしていくことが必要だ」と話す。

　また、セキュリティリーダーの資質を見抜くポイントの1つが、相手に分かりやすい説明ができるかどうか、ということ。長年セキュリティやリスク管理分野を担当している石橋氏だが、時折セキュリティの専門家と会話をしていても、内容を把握しにくいシーンがあるという。「専門的な技術や言葉が分かりにくいというよりも、相手が理解できる内容や話し方をしているか、コミュニケーション力で選ぶことも大切だろう」