CISOの責務と成功を考察する

CISO（最高情報セキュリティ責任者）を設置する企業の経営者は、情報セキュリティの重要性を認識しており、CISOの経営貢献を求めている。しかし、実際にどのように貢献すべきかについては、多くの企業では手探りの状態が続いているのが現状である。本稿では、業務執行およびコミュニケーションの観点から、経営者の理解と評価を得られるCISOのあり方について考察する。

CISOの評価

ITR Review 2021年2月号の『セキュリティ規範から実践へ』（#R-221025）においては、規範を守るだけではなく、IT環境を理解したうえで、攻撃者視点に基づいた対策を実装・運用することが必要であり、そのための評価・検証を行うことを推奨した。しかし、非常に強固な情報セキュリティ対策を実現できたとしても、事業が発展しなければ、CISOとして成功しているとはいえない。逆に、何らかの情報セキュリティ事故が起きたとしても、その被害や損失を最小化させる適切な対応を行い、事業が発展していれば、CISOとして成功しているといえるだろう。つまるところ、CISOとしての責務は、完璧な情報セキュリティ対策の実装を目指すことではなく、情報セキュリティ対策を通じて事業の発展に寄与することといえる。