CISO支援の第一人者に聞く。“事業を止めない”セキュリティ責任者の条件

大手企業のランサムウェア被害、内部不正による情報漏えいなどのセキュリティ事案が大きな社会問題となり、企業はその対策が喫緊の経営課題となっています。こうした状況下で「CISO（Chief Information Security Officer：最高情報セキュリティ責任者）」の役職を設ける企業も増えてきました。サイバー攻撃が事業に与えるインパクトは大きくなるなかで、施策を進める上でCISOはどのような役割を持ち、どのようなアクションを行っていけばよいのでしょうか。

本記事では、日本ネットワークセキュリティ協会（JNSA）でCISO支援WGのリーダーを務め、CISOとしての実務経験を持つPreferred Networksの高橋正和氏を招き、セキュリティコンサルタントとして企業のセキュリティ対策を支援するNTTドコモビジネスの小沢卓賀、佐久間裕之と実施した鼎談の内容から、CISOやCIOなどのITやセキュリティを管轄するリーダー、そして経営層が知るべきセキュリティ対策の本質を明らかにします。

---

経営とセキュリティ現場のブリッジ役が必要

──セキュリティ事案が多発し、経営課題となっている現在の状況について、CISO職と支援側の両方の立場を経験してきた高橋さんはどのようにお感じですか？ 特に日本の企業では経営層のセキュリティに対する理解が薄い、CISO人材がいない・機能していないなど、セキュリティ施策におけるリーダーシップや意識の欠如という問題が指摘されています。

高橋正和氏（以下、高橋氏）：経営者の意識の問題もありますが、まずは経営の目線で話ができるセキュリティ責任者が少ないところに問題があると思っています。経営者に対して脆弱性の話をしても伝わりません。セキュリティのリスクをビジネスリスクにどう結び付け、経営者が直感的にわかる言葉で伝えられないことに問題の根底にあります。

また、日本では大企業からベンチャーまでたくさんの企業がありますが、ITを基盤に事業を行っているベンチャーは、当然のようにCISOを設置しており、優秀なCISOも少なくありません。「日本の企業は」という区切り方で話をすると、どうしても論点がぼけてしまい、他人事の議論になるので、このような議論をするときには、「あなたの企業は」などと主語を工夫すべきだと感じています。

──NTTドコモビジネスはさまざまな顧客を抱えていますが、コンサルタントとして支援をする中で企業のセキュリティ意識についてどのように感じていますか？

小沢卓賀（以下、小沢）：お客さまと接するなかで感じるのは、セキュリティに対する意識はまちがいなく高まっているということです。しかし、企業ごとに対策範囲の設定や対策箇所、スピード感に対する意識の濃淡はあり、高橋さんのお話にあるような経営層と現場の距離感も感じています。

佐久間裕之（以下、佐久間）：ベンダーとしては、ITやセキュリティのトップ層にどれだけ働きかけられるかが重要と捉えていますが、やはり経営層に対して深く入り込んでセキュリティの重要性を伝えるのは簡単ではありません。

高橋氏：セキュリティは当事者として取り組むことが不可欠です。社内のオフィサー（役員・責任者）と外部のコンサルタントではレスポンシビリティ（結果責任・遂行責任）が異なります。当事者として取り組むべき核心部分をアウトソースしてはいけません。

──「当事者感」「レスポンシビリティ」というキーワードが出ましたが、経営層がセキュリティ対策を特定領域の「コスト」としてではなく、経営課題の解決に必要な「投資」として捉えるために、CISOはどのような視点・言葉で伝えるべきでしょうか。

高橋氏：まず、投資かコストかという二元論は避けたほうが良いでしょう。セキュリティは事業を営むために不可欠な「ビジネスイネーブラー」と捉えるべきです。投資対効果やコストというという文脈ではなく、事業継続のために何が必要なのかという視点で議論をすれば、経営者にもセキュリティが事業に不可欠であることが伝わるはずです。一般に、経営層はリスクに対して敏感です。CISOが単に「セキュリティが危ない」というのではなく、自社がどのようなリスクに直面しており、それが事業にどう影響するかを結び付けて説明できることが重要になります。

小沢：かつては「セキュリティは保険」という認識もありましたが、もうそんな時代ではありません。企業には従業員がいて、ビジネスを動かし、エンドユーザーにサービスや体験を届け続けることが求められています。この事業を継続する責任の1つとしてセキュリティがあると、捉えなおしています。そこには必然的に適切、最適な資金投入が求められますが、事業継続性やサスティナビリティの観点から、企業はセキュリティ対策の範囲を広げていく必要があると説くべきでしょう。

──当然お金はかかるものだということですね。

高橋氏：お金から始まると話が進みにくくなるので、まずは事業継続の観点で何が必要かという観点から議論を始めることがポイントです。そうすることで、対策の選択肢も出てきやすくなります。セキュリティの指標として「CIA（Confidentiality：機密性、Integrity：完全性、Availability：可用性）」がありますが、最近起きたランサムウェア被害の事例は、可用性の重要性を明らかにしました。そして、「セキュリティは情報を守るだけではなく、事業（止まらないこと）を守るものである」と再認識される転機にもなっています。セキュリティに対する意識が薄かった経営者も、事業が止まったらまずいう事実は痛感できたはずです。

CISOを機能させる第一歩は、経営会議に参加させること

──高橋さんは「CISOハンドブック」という書籍を出されてCISOの活動や育成を支援されていますが、セキュリティの本質的価値を経営層に届けられているCISOは少ないのでしょうか？

高橋氏：出版を契機にCISOやセキュリティ実務者を招いてワークショップを開催しました。CISOの方には意図が伝わった一方、現場のセキュリティ担当者にはうまく伝わらなかったと感じる場面がありました。例えば「CISOの立場で経営者にインシデントの報告をしてください」と言う設問では、CISOは事業上の懸念、顧客への対応、経営者への要求や判断を報告いただいたのですが、セキュリティ担当者は「システムに何が起きて、どういう状態か」しか報告しない傾向がありました。会社を代表するレプレゼンタティブ（代表者、代理人）としての視点が持てず、事業やお客様を見据えることが難しいようです。

──何のためにやっているか、事業目的と活動が紐づいていない。CISOが機能していないというよりは、やはり経営と現場がつながっていない部分に問題があるように感じます。

高橋氏：多くの企業は、セキュリティに何を求め、事業が何を担保すべきかが見えにくい状況にあると考えられます。この現状を解決するための近道は、CISOを経営会議に参加させることです。CISOがCEOや経営陣と直接コンタクトできないと、有事の初動が遅れてしまいます。加えて、CISOが事業で何が行われていて、どこが危ないのかを把握することができません。CISOは“チーフオフィサー”なので本来経営陣であるべきで、経営者は、そこで求められる業務執行を担わせるための取り組みをすべきです。

佐久間：CISOやセキュリティ担当者が明確に決まっている会社とそうでない会社を比べると、意思決定のスピードが圧倒的に遅いと感じますね。施策を打つにしても途中で要求内容が変わってやり直しになり、余計にお金もかかってしまっているケースがあります。

小沢：業界ごとにも差があるかもしれません。たとえば金融系などは自分たちで作られた2〜3年先のロードマップを提示されてからRFPのフェーズに入るケースが多く感じます。一方、企業によってはスピード感を重視して概算を優先した結果、予算確保が難しくなり計画が翌年以降に延びてしまうという課題に直面するケースもある。そこで我々としても、ご提案をする際にはお客様にとって実効性のあるご提案となるよう、事前にお客様の対策状況の棚卸をし、精度の高い議論ができる状態を整えてからお話するように心がけています。

CISOの設置効果を最大化するため、権限と責任を明確化させる

──改めて、CISOに求められることは何でしょうか。

高橋氏：経営陣として考えることであり、動くことだと思います。CISOはよくブレーキに例えられますが、本来はスタビライザー（自動車を安定走行させるための装置）なのです。つまり、事業のスピード、成長のスピードを落とさないためのイネーブラーと言えるでしょう。

佐久間：今高橋さんがおっしゃったことは、定義としてしっくりきますね。早く走った時にもちゃんと安定するようにするための大事な基礎、ベースということですね。

──全社的なセキュリティ意識を高めていくために、CISOやセキュリティ責任者は他の部門とどのように連携を取っていけばよいでしょうか。

高橋氏：企業の日常のプロセスにセキュリティ関係者が関わることが大切です。事業部門と何を話したらいいかわからなくても、一緒に日常のプロセスを処理していくことで、お互いの目線の高さ、重要事項・懸念点がわかり、事業に沿ったセキュリティ施策を構築していくことができるようになります。

──NTTドコモビジネスでは、セキュリティの全社的な浸透や部門間連携を円滑にするために提供できる支援や提案内容にどのような工夫をされていますか？

佐久間：支援における弊社の工夫の1つとしてセキュリティソリューションの提案/実装だけではなく導入に伴うお客様セキュリティ運用プロセス変更支援やセキュリティルールの策定支援も合わせて提案・実施させて頂いております。
また、提案においては担当者との会話も重要ですが、経営層にも伝わる提案を心がけています。それぞれ目線が違うので、提案する際は両方の目線に合わせた説明を意識しています。
どちらの目線においても、この対策に対してはこういうソリューションが有効だというような部分最適の話ではなくお客様セキュリティ施策の全体像を踏まえた上で、全体最適を考慮して進めています。

セキュリティ強化の秘訣はシナリオベースで棚卸を進めること

──CISOとしてすぐに実践するべきことや、まず着手すべきことを挙げるとすれば何がありますか？著作ではPDCAの“P”ではなく“C”から始めることを推奨されていました。

高橋氏：まず大事なのはインベントリー（棚卸）ですが、単なるチェックリストや監査的な視点で進めると、「項目のある・なし」だけの表面的な確認になってしまいます。実効性を持たせるためには、インシデントシナリオに基づいた机上演習を行うことが有効です。「こんな事件が起きた時にちゃんとエビデンス（証拠）は整うか」「規定類でカバーできているか」「判断を下す責任者は誰か」などを具体的に洗い出していくことができます。最初はセキュリティ担当部署で始め、わからないことを事業部門にヒアリングする形にすれば、事業部門も答えやすくなります。また、施策が必要な理由や背景も共有できるので、予算の話もしやすくなります。具体的な項目については、『CISOのための情報セキュリティ戦略』という私の著作や、JNSAのサイトでマテリアルを公開しているので、それを参考にしてください。

──NTTドコモビジネスとしては、限られた予算や時間の中でセキュリティレベルを向上させるためにどのようなソリューションやサービスが求められていると感じますか？

小沢：世の中の情勢としてはセキュリティ対応の領域や範囲は広がる一方です。そこで我々は、「防御プラス早期復旧」という考え方を軸に、回復力（レジリエンス）までを見据えたシンプルかつ具体的なソリューション検討をお勧めしています。事故が起きた際に実施する業務のうち、最も時間がかかるのが回復です。何が起こったかを突き止め、早期に回復するために当社が提唱するCRX（Cyber Resilience Transformation）という考え方をお伝えし、少しずつお客様の役割と我々の考えを合致させていくアプローチをとっています。

──高橋さんはCISOハンドブックの中で、DXが普及した今はセキュリティ体制を整備するチャンスと言及されていました。

高橋氏：DXでCIOは経営に近づきました。しかし、CISOは未だにその領域に至っていません。本来DXは事業そのものにかかわる話なので、CISOがその議論に加わらないのはおかしな話です。

佐久間：そこはCISO側が意識を変えることが近道になるのでしょうか。

高橋氏：正解はありませんが、やはりまず経営陣の一人にCISOを置くことが近道でしょうね。

──最後に企業でセキュリティに携わる皆さんにメッセージをお願いします。

佐久間：セキュリティを守るためには、現場の担当者だけでなく経営層をはじめ全社員が高い意識を持たなければなりません。当社ではセキュリティソリューションの提案から導入、運用までトータルにお客様に提供することで、お客様の事業継続性やセキュリティを担保し、企業としてのブランド価値向上もご支援できると考えます。

高橋氏：私がCISOにお伝えしたいことは、「セキュリティがわかる経営者を待つよりは、経営がわかるセキュリティ担当者になりましょう」ということです。CISO自身が事業に関われるようになった方がよいです。その意味から、経営者に期待したいのは、CISOを経営会議の「仲間」に入れることです。そこで経営層としての育成も進み、他の経営陣のセキュリティに対する理解も進むと思います。