CISO：仕事内容と責務 🛡️

CISOの意味

CISO (Chief Information Security Officers) は、企業や組織における基本的、実務的、そして財務に関わる情報に基づく意思決定を導く役割を担います。これらの専門家は、各技術部門と直接連携し、企業や組織向けの情報セキュリティ戦略やプログラムを推進します。また、ITアナリスト、情報セキュリティの専門家、その他のプロフェッショナルを率いて、セキュリティリスクの識別、封じ込め、除去に努めます。

最先端の技術、ビジネス、そしてイノベーションの能力を持つCISOは、企業全体のIT環境を監視し、セキュリティの脆弱性を評価しながら、最新の技術動向を把握し、効率的かつ合理的な運用のためのリソース配分を行います。

CISOは、経営層に対して戦略や方針を提示する責任を持ちます。PayScaleの調査によれば、CISOの平均年収は16万ドルを超え、約20年の経験がある場合は17万ドル以上となることが報告されています。

‍

CISOの責務

CISOの日常業務を理解するには、その役割に含まれる業務内容を知ることが最も簡単です。同じ職務でも企業によって多少の違いはありますが、1990年代にCitigroupでCISOを率いたStephen Katz氏は、MSNBCとのインタビューでCISOの責務を以下のカテゴリに分けました:

セキュリティ活動: 発生した脅威を即時に検知し、事態が悪化した際の緊急対応を行う。

サイバーリスクとデジタル知識: 新たなセキュリティリスクを把握し、M&Aなど大規模なビジネス動向に伴う潜在的なセキュリティ問題について取締役会に助言する。

情報漏洩と不正利用の予防: 内部スタッフが情報を悪用または持ち出さないよう管理する。

セキュリティエンジニアリング: セキュリティツールやソフトウェアの設計、導入、運用を計画し、ITや事業インフラが最適なセキュリティ慣行に則って構築されるよう指導する。

アイデンティティとアクセス管理: 主要な認証済みユーザーのみが重要な情報やシステムにアクセスできるよう制御する。

プログラム管理: システムパッチなど、セキュリティ要求に応じたプロジェクトやイニシアチブを先取りして実施する。

調査と法務: インシデント発生時に原因を究明し、内部の場合は関係者を管理するとともに、再発防止策を講じる。

管理: 上記すべてのプロセスが順調に進み、必要な資金が確保され、経営陣がその重要性を理解できるように全体を統括する。

その他の重要点: これらの項目は大半がITセキュリティに該当しますが、中には従業員やPCだけでなく物理的なセキュリティまで担当し、オフィスや施設を守るCISOも存在します。IDGの2020年セキュリティプライオリティ調査によれば、上級セキュリティリーダーの42%が過去3年間に実務として物理的セキュリティの責任を追加され、さらに18%が今後1年以内にその役割を担う予定です。

CISOに求められる要件

この職務に就くためには、強固なテクニカルバックグラウンドが必要です。Cyberdegrees.orgによると、一般的には、候補者はコンピュータサイエンスや関連分野の4年制大学の学位と、7～12年の実務経験（そのうち約5年は管理職経験）が求められます。セキュリティに特化した大学院での学位も人気となっています。また、必要とされる技術スキルとしては、基本的なソフトウェア開発やシステム管理の知識に加え、DNS、ルーティング、認証、VPN、ミドルウェア、DDOS対策などのセキュリティ技術、プログラミング、ペネトレーションテスト、リスク評価、ファイアウォール、侵入検知・防止策が挙げられます。さらに、CISOは管理面でのコンプライアンス対応も求められるため、PCI DSS、HIPAA、GLBA、SOXなど、業界に影響する各種規制について幅広い知識が必要です。

Chief Information Security Officerに必要な基本的なスキル

有能なCISOに求められる主要な資質は以下の通りです:

• リーダーとしてのカリスマ性
• 多様な関係者との強力なコミュニケーション能力
• ストレス下でも冷静さを保つ力
• 協力的で成果を重視する姿勢
• 迅速な行動を重視する強い意志
• 複数業務を同時にこなす能力
• 技術革新と絶えず変化するサイバーリスクへの強い関心
• 堅実な技術とセキュリティの知識
• リスクに対する鋭い感覚
• ビジネスの直感力

‍

最高情報セキュリティ責任者の資格

CISOは、チームを率いて管理する能力と、情報技術およびセキュリティに関する幅広い知識を持ちながら、技術者だけでなく非技術部門にも分かりやすくセキュリティの概念を伝える役割を担います。CISOには、リスク管理や評価の経験も必要とされます。

多くの組織では、経営学、コンピュータサイエンス、またはエンジニアリングの大学院での学位と、情報技術分野での豊富な実務経験を求めています。CISOは、ISACAが認定するCertified Information Systems AuditorやCertified Information Security Manager、(ISC)が認定するCertified Information Systems Security Professionalなどの資格を有していることが一般的です。

‍

最高情報セキュリティ責任者になるには?

CISOを目指す者は、キャリア目標に向け時間をかけて準備を進める必要があります。高等教育と実務経験を通して、技術的スキルとソフトスキルの両方を身につけることが求められます。CISOのキャリアは大学の学位取得から始まり、アソシエイトの学位も選択肢の一つですが、一般的にはコンピュータサイエンス、情報技術、または関連分野の4年制大学の学位が求められます。

学部レベルの教育を経た後、志望するCISOは部門レベルのIT、事業、またはシステムの専門家として、セキュリティ脅威の識別、予防、調査を担当します。さらに、新たなセキュリティ対策の評価、インフラの脆弱性補強、情報漏洩時の復旧対応にも従事します。こうした実務経験を積むことで、管理職や上級職への昇進が可能となります。

セキュリティアドバイザー、セキュリティアーキテクト、ペネトレーションテスターなどの中堅ITセキュリティ専門家は、技術的スキルとコミュニケーション能力を養います。将来のCISOは、部門や中堅のITセキュリティ専門家として経験を積み、技術面および管理面での知識と能力を磨くことが重要です。

セキュリティプランナー、情報技術プロジェクトマネージャー、またはセキュリティ責任者などの役職は、将来のCISOにとって次のステップとなります。上級専門家として、これらのポジションは技術的、管理的、そしてリーダーシップの能力を兼ね備えることが求められ、さらなる学位取得でスキルアップするケースも多いです。大学院での情報技術、サイバーセキュリティ、または経営管理の学位は、就職や昇進に有利に働きます。

多くの企業プロジェクトは、若手に重要なサブ分野の責任を担わせることで、将来のCISOとしての経験を積む機会を提供しています。システムセキュリティ、ペネトレーションテスト、ITセキュリティ関連の資格取得は、CISOとして成功するための力量をさらに高めるでしょう。

‍

CIO と CISO の役割の違い

CISOは、CIOに比べて、組織内のセキュリティに特化した業務が中心です。簡単に言えば、CISOはITセキュリティの戦略家、実施者、管理者であり、コンプライアンスも担当します。

CIO (Chief Information Officer) は企業のIT部門のトップとして位置づけられる一方、CISOは組織全体のセキュリティ体制の現状とその改善に責任を持ちます。CISOは、CIOの管理下にある技術的対策を監査し、セキュリティ上の脆弱性が存在しないか確認する役割も担います。

ITインフラや運用方法に変更が生じる際、CISOは必ずその役割を果たし、企業の俊敏性とサイバー耐性を確保する必要があります。

従来はCISOがCIOに報告するケースが多かったものの、今日では両者は同等の立場とされ、組織の安全性を高めるために協力して、サイバー脅威や未特定の脆弱性による損失を防止する体制が求められています。

近年では、CISOはCTOやCSOに報告することが一般的で、場合によってはリスクとコンプライアンスを担当するC-suite（最高幹部）役員、例えばCROに報告するケースも見受けられます。

また、一部の企業では、緊急のセキュリティ脅威が見過ごされないよう、CEOやCOOに直接報告することもあり、これによりサイバー攻撃や新たな脆弱性が発生した際に迅速な対応が可能となっています。

‍

CISOを採用すべき理由

CISOは、貴社のセキュリティ体制に比類なき価値をもたらします。Wallarmでは、多くの企業がその重要性を理解しており、CISOによるITインフラの守りが、サイバー攻撃による評判やデータ損失といった莫大な損害を防ぐ可能性があります。

専任のCISOを置く余裕がない中小企業でも、信頼できる専門家にその役割を委ねるか、既存の従業員や役員がCISOの責務を分担することで、適切なセキュリティ対策を講じています。

CISOを採用すべき主な理由は、以下の通りです:

• サイバーセキュリティが重要だから。

CISOは、最新のITセキュリティツールを駆使し、サイバー脅威がネットワークや事業に与える影響を十分に理解しています。この専門知識をもとに、ITシステム、ネットワーク、ハードウェア、アプリを包括的に守る体制を整え、信頼性の高いセキュリティおよびリスク軽減計画を提案します。

• ステークホルダーや顧客からの信頼を得るため。

組織内にCISOがいることで、貴社は最新のセキュリティ体制を整え、サイバー攻撃のリスクが非常に低いことをステークホルダーや顧客にアピールできるようになります。

‍

最高情報セキュリティ責任者の給与

BLSによれば、上級管理職は2018年から2028年にかけて約6％の雇用増が見込まれています。これに伴い、15万件以上の新たなリーダー職が追加され、最高情報セキュリティ責任者の需要はますます高まっています。

PayScaleの報告によると、シカゴ（イリノイ州）、フィラデルフィア（ペンシルベニア州）、ボストン（マサチューセッツ州）のCISOが最高水準の報酬を得ており、また、カリフォルニア、フロリダ、ニューヨークなどの州では特に高い傾向にあります。ユタ州は、最高情報セキュリティ責任者が集中している地域として知られています。

PayScaleによれば、中堅レベルのCISOの平均年収は10万5000ドルを超え、1～4年の経験者は年収12万ドル以上、10年以上の経験者は概ね16万1000ドル、最上級のCISOは年収17万ドル以上となっています。

CISOは特に金融やエネルギーなど高収益な分野で求められ、多くの企業が増大するサイバーリスクに対抗するため、上級情報セキュリティ責任者の採用に乗り出しています。2019年8月、CSO Onlineは、多くの企業がCISOまたは上級情報セキュリティ責任者を募集していると報じました。

最高情報セキュリティ責任者がAPIセキュリティにどのように寄与するか

APIの利用拡大に伴い、API攻撃も効果的になっています。多くのCISOは、自社のAPIセキュリティに対し注意を喚起しています。組織が高い可用性とデータの移動性を狙ってAPIを活用する中、API攻撃は個人情報、医療情報、金融情報などの機密データの流出につながる恐れがあります。

Instagram、Venmo、USPS、Capital One、GitLabなど、大手企業でも、APIの破損、不適切な設定、またはセキュリティ対策の不足により攻撃が発生した事例が近年報告されています。

CISOがAPIを守る上で直面する主な課題は6点あります。まず、自社が保有する全てのAPIを把握できていないことが挙げられます。監視されない「シャドウAPI」は、セキュリティリスクや運用上の問題の温床となります。次に、セキュリティ境界の確立が難しい点です。現代のアプリ設計（例：モバイルアクセス、マイクロサービス、ハイブリッドクラウド）により、単一のセキュリティパスで守ることが困難です。三番目は、APIトラフィックの包括的な監視です。内部APIの利用が広がる中、内部（イーストウエスト）と外部（ノースサウス）の双方のトラフィックを監視する必要が生じます。

‍

‍

四番目の課題は、新たなAPIごとに多数の手動セキュリティ設定が必要となる点です。これに関連して、CISOは新APIの変更点を多数管理しなければなりません。新APIは、適切なドキュメント、運用、変更管理がされず、非常に迅速なペースで展開されます。最後に、DevOpsとセキュリティの連携不足も大きな問題です。全APIの約30%は、DevOpsとセキュリティチーム間の協力不足により、ITセキュリティの観点が十分に取り入れられていません。

企業は今後、APIを守るための予算配分を拡大する必要があります。機械学習や人工知能、行動分析に至るまで、APIセキュリティプロバイダーは、APIに特化した技術を開発しています。APIトラフィックを監視することで、不審な利用や潜在的なリスクを特定し、攻撃が発生する前に改善策を提案できます。現在、APIセキュリティベンダーは専用のセキュリティソリューションを提供していますが、今後はWebアプリファイアウォール、アイデンティティおよびアクセス管理、API管理など、他のセキュリティ分野からの機能拡張が進むでしょう。

全体として、近年のAPIトラフィックの急増により、APIセキュリティは大企業のCISOにとって最も重要な課題の一つとなっています。これは、ネットワークセキュリティ分野の中でも急成長しているマーケットであり、新興企業もこの分野に参入し、シェア拡大を目指しています。APIセキュリティの先駆者は、将来的により広範なセキュリティ環境にAPI保護機能を展開していくでしょう.

‍

今後、CISOは何をするのか

今後、CISOの業務はますます拡大すると予想されます。役割がなくなることはなく、むしろ変化し、これまでとは異なる新たな責務が加わるでしょう。

例えば: 

• かつてはCISOはCISOやCIOと主に連携していたが、フィンテックの隆盛とデジタルセキュリティの重視により、CFOやCEOとの関与が増え、取締役会への発言も増加する。
• CISOは、企業のデジタルトランスフォーメーションを推進し、新システムの導入が安全に行われ、将来的な介入が最小限となるよう取り組む。これにより、企業のサイバー耐性が向上する。
• リスクとコンプライアンス対策において、CISOの意見がより重視され、管理職や技術チームとともに全体のデジタルリスクを最小化するための議論に参加するようになる。

今後、CISOは以下の意思決定にも関与するでしょう:

• リモートワーク関連のセキュリティ対策
• クラウド移行
• サプライチェーン管理
• コンプライアンス監査
• 顧客データやプロダクトの安全性に関わるセキュリティ対策
• 貴社のセキュリティ体制をステークホルダーや規制当局に説明すること
• 社内従業員向けデジタル行動規範の最終決定