- 2025.02.26
- サイバーセキュリティ
CISO(最高情報セキュリティ責任者)に求められる人材像
セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役 那須慎二様によるセキュリティコラム第2弾 第8回。今回は、CISO (最高情報セキュリティ責任者) に求められる人材像をご紹介いただきます。
前回は2024年のサイバー攻撃を振り返っていただき、まずは基本的な防御策の徹底が重要である旨をご紹介いただきました。
2024年のサイバー攻撃振り返り
今回はCISO (最高情報セキュリティ責任者) とはどのような役割なのか、またどのようなスキルや考え方が必要とされるのかをご紹介いただきます。
「そもそも何のためにセキュリティ対策を行うのか」など、ご自身のセキュリティに対する視座を高める内容にもなっております。
ご一読いただけますと幸いです。
CISOに求められる人材像【セキュリティコラム第2弾 第8回】
会社組織の役職者の名称として、
・CEO(Chief Exective Officer:最高経営責任者)
・COO(Chief Operating Officer :最高執行責任者)
・CIO(Chief Information Officer:最高情報責任者)
等があります。そのうちの一つの役職として存在する
・CISO(Chief Information Security Officer:最高情報セキュリティ責任者)
とは会社組織内における情報セキュリティ(サイバーセキュリティ含む)における最上級の役職と役割を持つ責任者のことを指します。情報セキュリティの最高責任者であるわけですから、当然セキュリティに関する基本知識はもちろんのこと、組織運営におけるセキュリティ対策、実装、運用などの全般についての包括的な知識と経験が求められます。
そもそも何のためにセキュリティ対策を行うのか?
CISOに求められる人材像の話をする前に、「そもそも企業が何のためにセキュリティ対策を行うのか」を考えてみたいと思います。このような質問を投げかけると、返ってくる回答は「サイバー攻撃者や悪意のあるものからお金や情報を守るため」ということが一般的です。
もちろん正しくはありますが、これでは組織運営における上位概念の役職である「CISO」の回答としては相応しくありません。何故なら「お金や情報を守るため」を目的に据えてセキュリティ対策を講じていくと、セキュリティ対策がガチガチに固まり、組織運営に支障をきたすほどに柔軟性が持てなくなる危険性を孕んでいるためです。実際にセキュリティを理由にデジタルの利便性を享受できていない企業は存在しています。
では、何のためにセキュリティ対策を行うのかというと、「企業の成長・発展を支えるため」です。セキュリティはあくまでも、事業運営が安全に、スムーズに進むための手段の一つにすぎません。そして、その役割が果たされている証拠になるのが、「情報事故が何も起こらないこと」でもあります。目に見えて評価されにくい点でもあるため、企業インフラの一部として、極めて地味に対策を講じていくのがセキュリティ対策でもあります。
CISOの役割とは
つまり、CISOの役割は、視座は常に「会社の成長・発展に貢献すること」。これを念頭におきつつ、企業がセキュリティ事故が起こらないように、目に見えない「企業のセキュリティ全般を取り扱う責任者」とまとめることができます。何も起こらない(=正常に事業継続ができている)ことが当たり前だと認識されることも多く、その評価が見えにくい、という地味な役割でもあるため、人前に立ちたい、目立ちたいと考える人には不向きな職種でもあります。
このような前提に立つと、CISOに求められるスキルは、セキュリティ対策のエンジニア経験があり、その経験があるから経営側に参画した、という側面だけでは足りなくなります。
では、どのような人材が望ましいのか。まとめていきます。
CISOに求められる人材像 10選
事業全体を俯瞰する高い視座と事業戦略に立脚したセキュリティ戦略策定能力
CISOに求められるもっとも重要な能力です。常に会社経営がどの方向に進んでいるのか、風向きを読みつつ、組織全体を俯瞰した上で、事業戦略、組織戦略、マーケティング戦略、セールス戦略、IT戦略等とのバランスを汲み取りながらセキュリティ戦略を立案、策定します。
全社横断でセキュリティ対策を展開する能力
セキュリティは会社全体の基盤部分。建設でいうところの「基礎工事」の要素を持ちます。そのため、全社横断的にセキュリティ対策を講じる必要があり、それらを展開するために、システム部門や総務人事部門、営業部門や開発部門等と連携する能力が必要になります。
利便性とリスク、安全性とコストの4点のバランス感覚
企業が事業の方針に向かって柔軟に取り組みを進められる(攻めることができる)前提で、どのようなセキュリティ上のリスクがどこに存在するのかを常に考える必要があります。安全対策にも目を向けつつ、限られた経営リソースであるお金をどこに投じるのが最もパフォーマンスが高くなるのかを併せて考えるバランス感覚が必要です。
セキュリティをわかりやすく噛み砕き、伝える能力
特に、ITが苦手であったりリテラシーが低い経営層に対して、理解と納得を得られるように働きかける最も重要な役割を仰せつかっているのもCISOの重要な役割です。投資判断は最終的に経営者(特にCEOやCOO)しかできないところでもあるため、納得して投資判断できるよう、わかりやすい言葉で理解してもらえるようなスキルが必要です。
最近のセキュリティトレンドやサイバー攻撃の情勢を把握する能力
攻撃のトレンドは時代に応じて変化します。攻撃者も自らのブランドを変えたり、より攻撃が成功する方法を編み出して攻撃を仕掛けてきます。そのため、世界で起こっているサイバー攻撃の情勢やトレンドを常にキャッチアップし、自社に攻撃が行われた場合にどのようなリスクが考えられるかを判断し、その対策を実行し、組織展開する能力が求められます。
企業における網羅的な脆弱性を把握し、潰す能力
攻撃が一気に広がるポイントは「クリティカルな脆弱性の出現」です。極めて大きなダメージを与えられ、かつ攻撃手法が比較的容易なものは一気に世界中に拡がるため、常にその情勢を把握した上で、自社にその攻撃手法に該当するセキュリティリスクがあるのかを判断し、すぐに手を打つスピード感が重要になります。ゼロデイ攻撃などのように防ぎようのない攻撃が判明した場合は、代替え措置を検討し、被害を最小限に抑えるために、セキュリティ部門に指示を出します。
企業が情報事故(サイバー攻撃含む)に遭遇した際のインシデントハンドリング能力
万が一サイバー攻撃に遭遇した場合の最悪な状況を想定し、どのような対応をすべきか、というインシデントハンドリングシナリオを考えることも重要な役割です。会社のセキュリティを俯瞰的に把握しているCISOにしかできない重要な役割の一つです。
事業戦略に立脚したルール設計・ポリシー策定能力
会社の事業戦略に基づき、それらを実現させるために起こりうるリスクを考え、会社のセキュリティポリシーやルール等に落とし込むことも重要な役割です。特に事業規模が大きくなればなるほど、組織には一定のルールが必要になります。策定したルールがあるからこそ、それを遵守しようとする組織統制が働くようになります。
経営層、マネージメント層、メンバー層全員のセキュリティリテラシ向上
策定したルールやポリシーに基づき、教育プランやシナリオを策定し、経営層を含む全従業員のセキュリティリテラシを向上することも重要な役割です。サイバー攻撃のみならず、情報漏洩や情報事故が起こる理由は「人」に起因します。そのため、組織全体のセキュリティリテラシの向上としての社員教育は、極めて重要です。
コンピュータテクノロジー、IT、ネットワーク、セキュリティに関する網羅的な知識と経験
コンピュータテクノロジー全般に対するCISOの知見が深ければ深いほど、その会社のセキュリティレベルが高まることは間違いありません。そのためにはIT、ネットワーク、セキュリティ等の網羅的な基本知識と経験があることに加え、応用知識と技術難易度の高い経験を保有しているのであれば、最上級のCISOとして引くてあまたな人材になるでしょう。
以上、CISOに求められる人材像についてまとめました。CISOへのキャリアパスは、一朝一夕になれるものではありませんが、技術スキルに加えて、組織全体を俯瞰的に眺める能力が求められるため、常に大局的に世の中の同行や組織全体を見る視座が必要になります。
筆者紹介
那須 慎二(なす しんじ)
株式会社CISO 代表取締役
国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス(特許取得 特許第7360101号)を提供している。
業界団体、公的団体、大手通信メーカー、大手保険会社、金融(銀行・信金)、DX関連など業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
