「CSOとCISOの違い」はそれほど重要な問題ではない：Cybersecurity Dive

企業が見るべきセキュリティの範囲が広範になるにつれ、CSOとCISOが果たすべき役割も変化しつつある。

[Sue Poremba，Cybersecurity Dive]

　昨今は「最高セキュリティ責任者」（CSO）と「最高情報セキュリティ責任者」（CISO）は、ほとんど交換可能な肩書きと見なされているが、肩書における「情報」の境界線は重要だ。どちらの役職も組織の安全の維持および資産の保護を任務とするが、2つの肩書は全く異なる意味を持つ場合がある。

CSOとCISOの違いの本質　CIO、CFO、COOとの関係

　長年シティグループでCISOを務めてきたスティーブ・カッツ氏（現Security Risk Solutionsオーナー）は、1990年代中ごろにシティがサーバー攻撃を受けた後にCISOという役職を創設したとされている。将来の攻撃に備えるために同社はCISOという役職を設け、組織のデジタル資産を保護する責任者とした。この歴史はSecurityWeekが2021年に行ったカッツ氏へのインタビューの中でも記録されている（注1）。

　しかしながら、コンピュータやデジタル情報が登場する以前から企業は物理的な資産を守る必要があった。CSOという用語がいつ生まれたのかは不明だが、固有の役職名を持っていたかどうかは別として、物理的な資産を守る役割を担う人物は存在した。

　CISOが主に組織の情報システムやデータの安全確保に重点を置いているのに対して、CSOの役割には人の安全のみならず、物理的なセキュリティや情報セキュリティといった安全に関わるあらゆる側面が含まれている。

物理的な世界とデジタルな世界の融合がもたらした変化

　「コンピューターに多くのものが移行し、デジタル世界の価値と重要性が増すにつれて、2000年代に始まったデジタルインフラストラクチャの管理と保護を担うためにCISOの役割が出現した」とCurtailのCEO（最高経営責任者）であるフランク・ウエルタ氏は述べている。

　始めのうちこそCISOはCSOの管轄下にあったが、やがてCISOはCIO（最高情報責任者）に直接報告するようになり、CSOはCFO（最高財務責任者）またはCOO（最高執行責任者）に報告するようになった。

　「現在、CSOとCISOの役割は物理的な世界とデジタルな世界という形でそれぞれ独立しているかもしれないが、2つの世界が融合するにつれて、これらの役割は重なり合い、互いを補完する形になっていくだろう」とウエルタ氏は述べる。

　CSOとCISOの役割はセキュリティの分野においても衝突している。過去、物理的なセキュリティの担当者は建物の鍵を監視し、警備員を監督していた。現在、鍵へのアクセスは電子化されており、セキュリティシステムはIoT（モノのインターネット）デバイスになっている。CSOの役割である物理的なセキュリティもデジタル化されたのだ。

役割の違いに関する認識の変化

　Xage Securityにおいてコンサルティングおよびサービスを担当するバイスプレジデントのアミット・パワー氏によると、CISOとCSOの明確な区別は責任の明確化と混乱の減少を促し、セキュリティインシデントや侵害が起きた際の意思決定の改善につながるという。そして、彼らはしばしば協力して仕事をするのだ。

　「CISOは情報セキュリティインシデントへの対応を主導し、CSOは物理的セキュリティや危機管理を含む全体的な対応を調整することがある」とパワー氏は語る。

　こうした区別によりセキュリティインシデントのあらゆる側面への対処が行われ、責任が明確になる。

　CISOがより重要視されるようになったのは確かだが、物理的な世界とデジタルな世界の関連性は強まっている。事業運営におけるCISOとCSOの役割について、大局的な視点が求められるのだ。

　「セキュリティとは物理的かつ論理的な侵害や侵入に対応する事後処理のみを指すのか。それとも、ハッカーが悪用できるような悪いコードから脆弱性が拡散しないようにアプリケーションにバグがないことを確認するためのプロセスまで含むのか」とウエルタ氏は問題を投げかける。

　会社の組織構造はそれぞれの役職における役割を明確にするために役立つ。

CIOを巻き込んだセキュリティリーダーシップの変化

　AzionのCISOであるマウリシオ・ペゴラロ氏は、CSOとCISOの違いに注目するよりも、両方が必要な場合はそれぞれの役割と責任を定義することがより重要であり、両方が取締役会やCEOに対応すべきであると考えている。

　「デジタル世界の絶え間ない進化と新たな脅威の出現に伴い、セキュリティリーダーシップの進化および専門化の必要性がますます高まっている」とペゴラロ氏は述べる。

　数年前、CISOに関連する組織系統図にはわずかな階層しかなかった。今日、私たちは多くの階層とリーダーシップに関する多様なタイプを見ることができ、それらは今後も継続的に変化および進化していくだろう。

　「数年後、CISOの役割は拡大し、CSOの役割だったものや、場合によってはCIOの役割だったものまで担うようになるだろう。それは情報技術やITシステムの多くの側面が、その周辺のセキュリティ要件やプロセスによって決まるようになるためだ」とペゴラロ氏は述べる。

セキュリティ脅威の進化が役割再定義の契機に

　今日において、CSOとCISOの役割は重なり合っているが、両方の役職は必要なのだろうか？　それとも1人で物理的なセキュリティとデジタルセキュリティに対応することは可能なのだろうか。

　「物理的な資産およびデジタル資産が豊富な大企業ではCISOとCSOの両方を設置する傾向がある」とLaceworkのグローバルフィールドCISOであるティム・チェイス氏は語る。しかし、小規模企業ではこれらの役割が統合される可能性が高く、場合によってはCIOの役割も加えられるだろう。プログラムコードやプラットフォームに組み込まれたセキュリティの必要性は以前にも増して重要であるため、CIOはますますCISOの側面が強い役割にシフトするかもしれない。

　セキュリティと脅威の進化に伴い、CSOとCISOの役割の拡大および再定義が模索されている。

（注1）CISO Conversations: Steve Katz, the World’s First CISO（SecurityWeek）

原文へのリンク