「責任ばかり増えて大変すぎ」 CISOの5人に4人以上が役割の再定義を求めている:Cybersecurity Dive
Trellixの調査によると、CISOの5人に4人以上は、規制や財務リスクが職務の大部分を占めるようになったため、CISOの役割を2つの別々のポジションに分割する必要があると考えている。
サイバーセキュリティ企業であるTrellixと調査企業であるVanson Bourneが2024年10月15日(現地時間)に発表した報告書によると(注1)、CISO(最高情報セキュリティ責任者)の5人に4人以上は、規制や財務リスクが職務の大部分を占めるようになったため、CISOの役割を2つの別々のポジションに分割する必要があると考えている。
実は2人体制がちょうどいい? CISOという役職の再定義に関する議論が進む
この報告書は、Vanson Bourneが2024年8〜9月にかけて、米国や欧州、中東、アジア太平洋地域の500人以上のCISOを対象に実施した調査に基づいている。
CISOの大多数は、職務を技術的かつ実務的なセキュリティの役割と、法規制の順守や役員室での情報開示に重点を置く役割に分割することを求めている。
Trellixのハロルド・リバス氏(CISO)によると、米国証券取引委員会(SEC)やその他の機関による規制の変更は、CISOにとって一長一短のものだという。
リバス氏は電子メールで次のように述べた。
「それらの機関はCISOの役割を引き上げ、サイバーセキュリティを取締役会における確固たる議題に位置付けた。一方、関連する規制や法的措置が個人の責任を増大させ、CISOの役割に就く人々の新たなストレスの原因となっている」
関係者は「SECによるインシデント報告義務や(注2)、CISOが取締役会や上層部と定期的に会合を持つことを要求するコーポレートガバナンスの広範な変化により、CISOの役割は根本的に変化しつつある」と答えた。
最大の懸念点は、企業がサイバーセキュリティリスクを適切に開示しなかった場合に、CISOが直面する法的な危険が増大していることである。現在SECは、ソフトウェア企業であるSolarWindsと、そのCISOのティモシー・ブラウン氏に対して、2020年に発生したマルウェア「Sunburst」攻撃に先立ち、同社のサイバーリスクを投資家に適切に開示しなかったとして、民事詐欺訴訟を継続している(注3)(注4)。
およそ10人に9人の回答者は「変化する規制環境がCISOの役割を再定義している」と述べた。5人に4人の回答者は、新しい規制に対応するために必要な時間と労力を維持するのは現実的ではないと考えている。
調査対象の半数近くは「取締役会と毎週会合を開くようになった」と回答した。
コンサルティング企業であるPwC USにおいてサイバーリスクおよび規制を担当するミシェル・ホートン氏(プリンシパル)は、CISOの職務を分割する必要性に異議を唱えている。同氏は分割を求めるのは、一部の企業におけるリスク管理が未成熟だからだと指摘した。
ホートン氏は、電子メールで次のように述べた。
「適切に機能するリスク管理や規制変更管理プログラムは、法務やサイバーセキュリティ、リスク管理、コンプライアンス、内部監査などの複数の部門が連携して実施すべきものだ。これは必ずしもCISOの役割を分割する理由にはならない」
2024年6月にバイデン政権は、増え続けるコンプライアンス要件を整理する計画を発表した(注5)。これらの要件では、重大な攻撃の迅速な報告やサイバー回復戦略の開示、各業界における最低限のセキュリティ基準への適合が求められている。
(注1)The Mind of the CISO(Trellix)
(注2)SEC cyber rules ignite tension between reputation and security risk(Cybersecurity Dive)
(注3)Majority of SEC civil fraud case against SolarWinds dismissed, but core remains(Cybersecurity Dive)
(注4)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
(注5)White House wants to harmonize the breadth of cybersecurity regulations(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。