CISOたちが激論、「経営者はセキュリティに理解がない」は言い訳か？

ISC2が開催したパネルディスカッションで現役CISOや元CSOら3人が、今後求められるCISOの役割や経営者とのうまい付き合い方などについて激論を交わした。

[宮田健，ITmedia]

　ISC2は2024年2月7日、オンラインイベント「生成AIが活用される時代に求められるセキュリティとは　CISOパネルディスカッション『今後3年間でCISOが行うべきことは何か』」を開催した。

　同イベントは2部構成で、前半では「ChatCPT」をはじめとする生成AI（人工知能）がセキュリティにどのような影響を与えるかを解説し、後半では現役CISO（最高情報セキュリティ責任者）と現役CSO（最高セキュリティ責任者）、元CSOの3人が、CISOへのキャリアパスなどについて議論した。

CISOは生成AIとどう付き合っていけばいいのか？

　Preferred Networksでセキュリティ・アーキテクトを務める高橋正和氏は、ChatGPT自身にChatGPTを解説させて、自己紹介pptファイルを作成するというデモを交えつつ、生成AIの威力をその背景とともに説明した。

　高橋氏はこのパワフルなAIについて「セキュリティを考えたときにどのような観点でAIを語っているかによって文脈が変わってくる」と指摘した。例えば社会問題としてのAIであれば倫理などが課題となるが、技術論としてのAIであれば、その認識精度やモデルが問題となる。

まずはAIの定義を考える（出典：ISC2発表資料）

　高橋氏によると、統計的機械学習（ML）としてAIを捉えると、過去の分布を訓練データにして学習済みAIモデルを作成し、これを予測に活用した場合、予測精度を完璧には保証できず、かつなぜそうなったのかを説明できないという性質があるという。高橋氏はこれに関して「交通標識にシールを貼ると間違った認識となるような、特定のデータで特定の動作を導く脆弱（ぜいじゃく）性が発生する可能性がある他、データ由来の脆弱性は特定が難しく対策が困難だ」と指摘する。

統計的機械学習の本質的限界（出典：ISC2発表資料）

　では、このAIに関して世界的にはどのようなセキュリティが求められているのだろうか。高橋氏は幾つかの資料を基に解説した。

　最初に高橋氏は、CSA（Cloud Security Alliance）が公開する「Security Implications of ChatGPT」を紹介した。ドキュメントの中では攻撃者がChatGPTでサイバー攻撃のターゲットを見つける方法を例示している他、脆弱性のフィルターやセキュリティコードの生成するなど、防衛側でも可能なChatGPTの活用法がまとめられている。

Security Implications of ChatGPTの概要（出典：ISC2発表資料）

　また、セキュリティ関連のオープンコミュニティーであるOWASP（Open Worldwide Application Security Project）が公開した「OWASP Top 10 for LLM Applications」では、開発にフォーカスした生成AIの課題がピックアップされている。

OWASP Top 10 for LLM Applicationsの概要（出典：ISC2発表資料）

　高橋氏は「生成AIは今後発展の余地があり、私たちはかつてマイコンが登場したときのように、時代の特異点にいる。セキュリティに関わる人たちは意外と新技術に疎いことも多く、新しいものを使わない場合もあるが、ぜひ生成AIを使ってみてほしい。少なくともその利用規約を理解し、法制度などにも気にしておく必要はあるだろう」と指摘した。

AIによって変わるもの（出典：ISC2発表資料）

本当に“経営者はセキュリティに理解がない”のか？

　続いて高橋氏と日本マイクロソフトのCSOである河野省二氏、サイバーセキュリティクラウドでCSO／CISOを務める桐山隼人氏によるパネルディスカッションが開催された。パネルディスカッションは、ISC2の小熊 慶一郎氏がモデレーターを務め、まずは“経営者がセキュリティを学ぶのと、セキュリティ担当者が経営を学ぶのとどちらがいいか”という議論からスタートした。

上からモデレーターのISC2の小熊 慶一郎氏、日本マイクロソフトの河野省二氏、Preferred Networksの高橋正和氏、サイバーセキュリティクラウドの桐山隼人氏

　高橋氏は経営会議に呼ばれたときに何を答えればいいかをテーマとして、近著の『CISOハンドブック』（2021年）や『CISOのための情報セキュリティ戦略』（2023年）でもCISOの考え方を述べており、「セキュリティができるのであればそれをどうマネジメントの言葉にしていくか、経営層のようにセキュリティにあまり理解がない立場から始めるのであれば、それが事業に対してどういうインパクトがあるのか部下に説明させるといった考え方がいいだろう。どちらが有利不利というのはないと思っている」と答えた。

　河野氏は「セキュリティ対策は、製品を次々と導入するよりも、ITの中に含まれるセキュリティ機能やそこから得られる情報を駆使し、いかに自社のポスチャマネジメントを実行するかに移ってきており、それに伴いCISOに求められるスキルも変化している」と話した。この他、キャリアパスについて「ビジネスを知るCISOの方が、セキュリティをイネーブラーとして活用できると思っている。自分の会社のビジネスモデルを勉強している人が最適だ」と述べた。

　2024年1月にサイバーセキュリティクラウドのCISOに就任した桐山氏は、CSOを兼ねている立場として、絶対的に正しい尺度のある技術的な領域とは異なり、CISOは目標を定義し、数値に納得感を示すストーリーを提示する必要があるという持論があると話した。同氏は、これを実行するためには左脳的な論理的な話に加え、右脳的な“アート的”な考え方も必要なのではないかと問題提起した。

　また、CISOのキャリアパスについては自身が経営大学院に関わることから、ビジネスの疑似体験ができる場を活用しつつ、「経営層との共通言語や視座、プロトコルがそろう学びを通じ、新規事業開発やスタートアップなど自分自身が巻き込まれる体験を通じ学ぶのがいいだろう」と語った。

　高橋氏はセキュリティ担当者の間でよく聞く意見の一つ「経営者はセキュリティを分かってくれない」という話は、それぞれの視座が異なることから出てくるものだと述べる。

　「講演で“経営者がセキュリティを理解してくれない人”を挙手させると多くの人が手を挙げる。しかし“経営者がリスクに興味がないと思っている人”と聞くと、皆が手を下げる。つまり、リスクに敏感な経営者が納得できる説明をセキュリティ担当者ができていない可能性がある」（高橋氏）

　これについて河野氏も同意しつつ「コンサルタントとして数百社の経営層と話す経験があった。経営層ともプロトコルが合えば通じる。機能の話や何ができるかではなく、何をやればいいのか、どういう効果があるかを話すことが、経営者の知りたいことなのではないか」と提言した。

　桐山氏は、トップが朝令暮改のような一貫性のないことを話していても「それはもう当たり前の時代なのではないか」と話した。「外部環境が変化し、外界からのフィードバックループが正しく働いている。変化を捉えて、スピーディーに切り替えられることも大事だ」（桐山氏）

CISO着任後の重要な仕事は「後任探し」？

　次に、パネルディスカッションのテーマは「今後3年間でCISOが行うべきことは何か」に移ったが、ITの世界で3年というのは長い。高橋氏は現在後任のCSOにその職を譲っているが、事業の最適解を考えたら新しい人の方が向いていたからと話した。

　「CSOを5年続けると、やるべきことはかつて自分が対策してきたものばかりになる。自分を否定して超える必要が出てくる」（高橋氏）

　小熊氏は「私は以前講演で『着任後最初に雇った人は？』と聞かれたが、『後任者を雇った』と答えた。適切な人にバトンを渡すことも重要な役割だと思う」と述べた。

　河野氏は現在、日本マイクロソフトの中でCISOのスキルトランスファープログラムを開催しており、これによって知識やスキルの整理ができたという。

　桐山氏は着任して間もないが「1年後や3年後は本当に分からない」と率直な感想を述べる。「その中でいま気にしているのは、CEOの作ったゴールを分解し、今CSOが受け持つKPIが、全体のゴールにどのくらい影響があるか。CISOは経営にインパクトがあるから存在する。それがどの程度影響力があるのか。それをトラックしていきたいと思う」と語った。