「CISO」というセキュリティリーダーの作り方(2/3 ページ)
企業や組織の“デジタル化”が進む中でセキュリティリスクも高まる。ガートナーでセキュリティやリスク管理分野を担当する石橋正彦氏は、セキュリティを取締役レベルで担うリーダーの必要性を提起する。
石橋氏がセキュリティリーダーの必要性を提起するもう1つの理由は、企業や組織が経営レベルで持続的なセキュリティ対策に取り組めるようにすることの重要性からだという。
というのも、例えば、ある脅威が経営レベルで問題視された場合、リーダーのいない組織では現場寄りの人材が経営層を説得させないといけない。セキュリティに詳しくない経営層は、「絶対に守れる」という方法を要求しがちだ。しかし、セキュリティ対策に“絶対”は存在しない。その“真実”を経営層に理解してもらうには、同じ経営の立場からセキュリティについて発言できる人材が必要になる。
「海外では既に製品や技術よりも、人を重視したセキュリティが注目されている。『この対策なら大丈夫』というのではなく、リスクベースでセキュリティを考えられる人材が求められている」(石橋氏)
いまセキュリティリーダーの人材に求められる要件は、ユーザー企業を支援するベンダーやSIerでは技術力など専門性が重視される。一方、ユーザー企業では経営層に対して説明ができるコミュニケーション能力になる。技術的な内容よりも、予算や人員といった資源について経営層と同じ感性で話をできることが求められる。
なお、その現状はまだ厳しいという。ガートナーの調査によれば、多くの企業が4人以上のセキュリティ担当者を配置してはいるものの、その大半が他の仕事と兼務しており、肩書を持たない担当者も多い。ただし、既に「CISO」の肩書や「情報セキュリティ委員長」といったリーダー的な立場の人材も出始めている。
ユーザー企業が情報システム部門を設置するようになって20年近くが経過し、社内あるいは企業グループの中でセキュリティ業務を担当してきた人材は多い。つまり、セキュリティリーダーの候補となり得る人材は既におり、予算や権限、発言力を持つことができれば、セキュリティリーダーを担える可能性がある。
石橋氏は、「2016年以降はCISOやセキュリティ事故に対応するCSIRTが増えていくだろう。CEOやCIOがCISOを任命し、予算と権限を持たせ、取締役会で発言できるようにしていくことが必要だ」と話す。
また、セキュリティリーダーの資質を見抜くポイントの1つが、相手に分かりやすい説明ができるかどうか、ということ。長年セキュリティやリスク管理分野を担当している石橋氏だが、時折セキュリティの専門家と会話をしていても、内容を把握しにくいシーンがあるという。「専門的な技術や言葉が分かりにくいというよりも、相手が理解できる内容や話し方をしているか、コミュニケーション力で選ぶことも大切だろう」
関連記事
- セキュリティ専任職の採用 「予定なし」企業は半数に
サイバー攻撃や情報漏えいなどが問題化しているものの、ガートナーの調査では自社に専任担当者を置く考えのない企業が半数近くを占めた。 - 公開サイトでのセキュリティ対策、未実施は「恥ずかしい」
ガートナーの調査では約6割の企業が、主要7項目で外部攻撃への対策を実施していた。 - 海外展開での悩み事と「木を見て森を見ず」のセキュリティにアドバイス アナリスト陣が講演
セキュリティとリスク管理がテーマのガートナー サミットが開催。同社のアナリスト陣が、グローバル展開に求められるセキュリティの在り方や「セキュリティインテリジェンス」について解説した。 - 「クラウド」と「モバイル」時代に備えたセキュリティの取り組み方
ITの注目キーワードとなっている「クラウド」や「モバイル」。これらに関連する製品やサービスを導入する際に、企業のセキュリティ管理者が講じるべき留意点はどのようなものか。ガートナーのアナリストが講演で語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.