現在、どのような会社・個人でも「サイバー攻撃」の標的となり得る可能性があります。

ハッカーによる深刻なサイバー犯罪の被害が多発している海外企業では、「セキュリティインシデント」の発生を防止するために、「CISO」を任命する動きが加速しています。

犯罪自体が少ない日本は、海外と比べると「サイバー攻撃」に弱いと言われており、DX時代には企業防衛を強固にするために、「CISO」のポジションが不可欠になりました。

そこで今回、CISOとは、最高情報セキュリティ責任者・CISOの意味と役割について、解説します。

■CISOとは？
CISOとは、英語で「Chief Information Security Officer」の略で、日本語で「最高情報セキュリティ責任者」になります。

企業の情報セキュリティ全般の責任者です。近年セキュリティ対策強化が望まれる背景によって、CIOからさらに「セキュリティインシデント」の専門家として設置されるようになりました。

現在、多くの企業では、ユーザーのWebサイトを乗っ取る「ランサムウェア」や、ソーシャルエンジニアリングを利用した「フィッシング」などのハッキング、サービス拒否（DoS）などの「サイバー攻撃」の脅威に晒されています。

そのため、企業は自社のデータや個人情報、機密情報を守るためにサイバーセキュリティへの投資を拡大させています。

CISOは、日本で導入している企業は少ないものの「サイバー攻撃」が増えている欧米企業では、CISOは既に一般的なポジションであり、今後更に重要視されることが見込まれています。

■サイバー攻撃とは？
サイバー攻撃とは、ネットワークを通じて、サーバーやパソコン、スマートフォン、タブレットなどの端末を意図的に狙い、破壊したり、データを盗んだり、改ざんしたりする行為のことを指します。

サイバー攻撃は、ハッカーのような個人によって行われることもあれば、組織によって行われる大規模なケースもあり、その場合、人や組織、あるいは国が標的になります。

その攻撃方法では、従来の脆弱性につけ込む攻撃方法に加えて、ピンポイントで特定の企業、団体、個人をターゲットにする標的型メール攻撃、不正アクセス、ランサムウェア、DDoS攻撃、 IoT機器やスマートフォンを狙ったサイバー攻撃などが増加しています。

CSISのサイバーインシデント・リストによると、1位の米国、2位の英国、4位のドイツ、8位のオーストラリアといった西側諸国は、中国やロシアが支援するハッカー集団から最も多くのサイバー攻撃を受けています。

Symantecのノートンレポートによれば、日本の1年でのサイバー攻撃による被害額は、約999億8000万円、全世界での被害額は約11兆2977億円にもおよび、被害が高額化する傾向は止まりません。

■サイバー攻撃に対する警視庁の対応について
最近の「サイバー攻撃」の大きな問題点として、匿名化があげられます。

攻撃者は攻撃の足跡を残さないテクニックを身に付けて来たため、悪意のある人物特定がより困難となり、被害者にとってはやられ損の状況に陥ってしまう可能性があります。

サイバー攻撃は、れっきとした犯罪行為になります。その犯罪の手口は、通信技術の高度化に比例し、日々、巧妙化しています。

このような危機的な状況に対して日本の警視庁では、「サイバー犯罪捜査官」を日本全国の都道府県で募集しており、サイバー犯罪への対策の強化を講じています。

サイバー犯罪捜査官とは、高度な情報処理技術をもって、サイバー空間における犯罪の捜査を専門的に行う警察官です。

サイバー犯罪捜査は、コンピュータやネットワーク、ソフトウェアの知識を事件捜査に生かし、サイバー空間の脅威の減少のため、日々挑戦し続ける仕事になります。

警察官として、個人の生命、身体及び財産の保護、犯罪の予防、鎮圧及び捜査、被疑者の逮捕、交通の取締ります。

その他、公共の安全と秩序の維持に当たるとともに、情報技術の専門的知識を生かし、特にサイバー犯罪捜査等専門的な業務に従事しています。

■CISOの役割とミッション
アメリカでは、「サイバー攻撃」を使った海外からのテロなども多く発生し、2位以下の国に大きく差をつけています。

一方、日本国内の場合は、同じ日本国内からターゲットにされるケースが多いようです。その内容は愉快犯的なものだけでなく、明らかに営利目的や企業に対し損害を与えるためのものも増えています。

CISOのミッションは、現在および未来の情報セキュリティーに対する脅威から企業を守ることです。

企業におけるセキュリティー対策には、経営層などトップマネジメントによる強いリーダーシップが求められます。

その理由としては、現場の情報システム部門やSOC、CSIRTなどが行うセキュリティー施策、実際に各システムや各種情報を扱う社内のユーザー部門の協力が欠かせないないからです。

このようにトップと現場の各部門が一体となって機能するために、CISOは双方を結ぶ橋渡し役となります。そしてセキュリティー対策の取り組みを企業全体へ広げるのです。

そのため、CISOには牽引役としてのリーダーシップや、技術面とビジネス面双方の深い知見が求められます。

■CISOとCIOの違い
CISOに近しいポジションとして、 CIO「Chief Information Officer」（最高情報責任者）があります。CIOは、セキュリティに限らない情報システムの企画、導入、運用、更新の全般を担当範囲としています。

CISOは、企業や組織における役員クラスの役職の一つとされるいますが、CIOとの兼務、危機管理やIT部門の部長クラスが担うケースもあります。

組織において万全なセキュリティー体制を構築するには、経営層と現場部門をつないで統率する存在であるCISOが欠かせません。

CISOは、企業内のあらゆる情報セキュリティーにおいて、責任と最終決定権を持ち、情報システム関連だけではない、施設・設備や財産、従業員等を含む全社における保安対策を担当範囲としている、という違いがあります。

■CISOの仕事内容
近年サイバー攻撃の手法は多様化・巧妙化しており、企業が標的にされた場合のビジネスに与えるインパクトは大きくなっています。

CISOは、企業において以下のようなセキュリティ対策全般に関わる事柄を幅広く統括します。

・コンピュータシステムのセキュリティ対策
・ネットワーク・サーバー環境の安全管理
・コンピュータで管理しない機密情報管理規定の策定
・個人情報屋や内部情報漏洩事故の防止

CISOは、情報セキュリティ技術の専門家としての働きに留まりません。

事業や企業経営の知見を基に、セキュリティに関わるあらゆる要素を企業経営戦略に反映させ、必要な施策の実行を担う等、経営幹部の一員としての活躍も求められます。

■CISOに必要なスキル
CISOには多岐にわたる情報セキュリティーの責任者として、自社のセキュリティー状態を把握する仕組み作りや適切なセキュリティー施策の提案・導入、リスク分析が求められます。

情報セキュリティーに対する脅威の全体像を理解し、セキュリティー技術を評価するには深い知識と技術の両方が必須となります。

また攻撃手法やセキュリティー技術は日進月歩で進化しているため、古い技術では対応しきれません。常に最新情報にアンテナを張り、取り入れる姿勢も重要です。

CISOは経営層と現場部門をつなぐ橋渡し役として、企業全体にセキュリティー対策の取り組みを広めます。

日頃からセキュリティーリスクや対応に関する情報開示など、関係者との適切なコミュニケーションが必要です。

万が一インシデントが発生した場合でも、十分なコミュニケーションが取れていれば関係者の不信感を抑え、説明も容易になりスムーズな対応ができます。

■CISOの設置状況
IPAより発行されている「企業のCISOやCSIRTに関する実態調査」というレポートによれば、CISOの設置状況について、経営層として「CISO」を任命している」もしくは、経営層よりも下の階層に「CISO」を任命しているを合わせた割合は、以下の通りになっています。

日本: 64.3％
米国: 78.8％
欧州: 85.0％

上記の情報からも、日米欧の企業において既に「CISO」などの「セキュリティ責任者」が広く設置されている状況が伺えます。

また、この数値は増加傾向にあり、今後もCISOを設置する企業の割合は増加していくと考えられます。

ビジネス上での目標をデジタル的な手法により達成する必然性と、サイバー攻撃の多様化 / 増加を考えると CISO は多くの企業にとって、今後より重要で必要な立場になりつつあると言えます。

■まとめ
CISOとは、「Chief Information Security Officer」の略です。CISOは、情報セキュリティの総責任者CISOは企業や組織における情報セキュリティーの最高責任者です。

CISOには、リスク評価において脅威や脆弱性、被害の要素が組織に対するリスクか、顧客に対するものか、あるいは社会に及ぼす影響かを正しく評価することが求められていますが、従来の管理系の業務の役員は必ずしも適任ではありません。

強い権限を持ちながら経営層や現場の各部門を横断し、セキュリティーに対する取り組みを最適化する重要な役割があります。

セキュリティポリシーの策定、情報資産の扱い運用やその監査、コンピュータのセキュリティ対策、機密管理規程の策定、リスク管理、情報漏洩事故の防止などの統括などが仕事とされています。

CISOは情報セキュリティの守り手であり、その役割は、複雑さを増す一方の規制に対処しながら、ポリシーやセキュリティアーキテクチャー、業務プロセス、システムを整えることになります。

今後、企業にとっては、サイバー脅威のリスクを減らし、データの安全性を保つことが、コンプライアンスを加味したリスク管理について理解することと同じくらい重要な要素になっています。

「安全とは思いこみに過ぎない場合が多いのです。現実には安全というものは存在せず、子供たちも、誰一人として安全とは言えません。

危険を避けるのも、危険に身をさらすのと同じくらい危険なのです。人生は危険に満ちた冒険か、もしくは無か、そのどちらかを選ぶ以外にはありません。」

＜ヘレン・ケラー＞

■最後に
情報セキュリティの分野では、情報システムの運用や個人情報の管理に支障を来すような事態に陥りかねない状況をインシデントの中でも「セキュリティインシデント」と呼ばれています。

典型的な「セキュリティインシデント」としては、サイバー攻撃を受ける、ウェブサイトが改竄される、クラウド型のシステムにセキュリティホールが見つかる、といった状況が挙げられます。

ITサービスマネジメントの分野においては、事業者がハッカーによるサイバー犯罪より、提供するITサービスがシステムの不具合や事故などにより中断または阻害されることが多方面で実際に起きています。

サービスの質や利便性が損なわれる状況に至りかねない状況は、インターネットでサービスを提供する企業にとっては深刻な問題を引き起こすため、企業防衛が必要な時代になったと言えます。

日本ではサイバー犯罪を防止するために「不正アクセス行為の禁止等に関する法律」なども施行されていますが、攻撃した相手を特定し逮捕するためには被害届を提出する必要があります。

日本最大級の顧問契約マッチングサイト「KENJINS」では、知識・経験・人脈・スキルを持った5000人を超える顧問やプロ人材をネットワークしており、顧問契約をベースに課題解決の実行支援を行っています。

サイバー攻撃を未然に防ぐセキュリティ対策を推進すると共に、起きてしまったサイバー犯罪に迅速に対応し、ビジネスを問題なく維持するために、サイバー犯罪対策を推進するホワイトハッカーやインシデント管理を行う「技術顧問」をアサインしています。