本調査から得られた知見に基づき、考察をまとめる。
効果的なCISO等の設置に向けて
アンケート結果から、経営層として CISO 等を任命することで、経営層の情報セキュリティへ の関与、投資評価、リスク分析、CSIRT 設置、情報開示等の取り組みにプラスの効果が得られる ことが明らかとなった。逆に、CISO等が任命されていない企業では、経営層が自社の情報セキュ リティに対しあまり関与していない傾向もみられる。これは、情報セキュリティの取り組みに責 任を担うCISO等の存在が、情報セキュリティ対策の推進力となることを示している。
もちろん、CISO等さえ設置すれば、すべての問題が解決するわけではない。そこで、効果的な CISOの設置に向けて、考慮すべき事項を以下に示す。
① ポジション
CISO等には、情報セキュリティについて経営層と現場をつなぐ通訳の役割が期待される。
経営層への説明機会を考慮すれば、CISO等は経営層もしくは経営層に直接説明する立場に あることが望まれる。アンケート結果で、CISO等の置かれたポジションが高いほどより高 い効果が得られたのは、ポジションが社内における影響力に直結するためと考えられる。
逆に、CISO等のポジションが企業全体をカバーできる立場にない場合、企業全体のセキ ュリティリスクに責任を負うのは難しい。たとえば、新規の事業計画を知る立場でないとし たら、その計画が内包するセキュリティリスクについて言及し、対策を指示することは困難 である。
ただし、CISO等のポジションが高いと、CISO等と現場のセキュリティ責任者・担当者の 間で認識にギャップが生じる懸念があるため、留意する必要がある。
② スキル
CISO等には、技術とマネジメント両方のスキルが求められる。前者は現場の状況や対策 の必要性について理解するためであり、後者は経営層やステークホルダーに対してセキュ リティリスクの状況や課題を説明するためである。しかし、両方のスキルを有する人材がい ない場合、ISFの意見では、経営層にビジネスの観点から説明できる能力を重視し、技術的 な要素については専門スタッフがカバーするケースが増えているとされる。
また、CISO等には、ビジネスとセキュリティについて、会社全体としてバランスをとり 総合的に判断する能力が求められる。
③ 経営層の支援
経営層が情報セキュリティを経営課題として捉えることが重要である。特に、CISO等が 経営層のレベルではない場合、CISO等からの提言を経営層が受け止めることができなけれ ば、CISO等は有効に機能できない可能性がある。たとえば、経営層が情報セキュリティに 関する報告を受け、意思決定を行う会議体が存在し、そこにCISO等が主体的に関与する体 制が重要になると考えられる。
CISO等の人材の確保・育成に向けて
推進力のある CISO 等の存在が、その企業におけるセキュリティの取り組みに大きな影響を与 えていることから、CISO等の人選は非常に重要である。しかし、CISO等に適した人材がいない 場合には、社外から調達するか、候補者を社内で見出して育成するかの2択となる。
米欧企業においては、社内で育成するのではなく、「プロ」のCISOを社外から調達するケース も見られる。プロCISOは、所属先の企業において、自身の有する知見・ノウハウを駆使して情報 セキュリティの取り組みを推進し、ある程度改善した段階で新天地に転籍していく。つまり、プ ロCISOが企業を渡り歩くことで、重要な知見・ノウハウが普及する効果が期待できる。一方、国 内の場合、将来的には同様な形態になっていく可能性はあるが、今のところはそのような状況に なく、優れたCISO人材が限られている以上、外部調達は容易ではない。
したがって、日本企業の多くは、候補者を社内で選出し、育成する必要がある。ただし、CISO 等の育成方法は確立・共有されておらず、各社とも手探りの状況にあるのが実態と推測される。
これは共通の課題であることから、個社の努力に依存するのではなく、個社同士が多様なレベル で連携し、有用な方法論や課題解決のアプローチ等の共有を図ることが望まれる。たとえば、ISF のような情報セキュリティに関する企業横断のコミュニティ活動を通じて、CISO等の候補者がベ ストプラクティスを学び、知見・ノウハウを共有する方向が考えられる。
望ましいCSIRT整備に向けて
企業は、事業の特性、守るべき資産、拠点、人的資源等の条件が多様であることから、CSIRTの 在り方も百社百様である。CSIRT整備において考慮すべきポイントを以下に示す。
① 機能設計
CSIRTは、すべての機能を社内で完結させるのではなく、アウトソースを活用することも
選択肢に含めて設計するほうが合理的である。
たとえば、CSIRTの責任者は、インシデント発生時に社内外の調整や説明を行う必要があ ることから、社内の人間であることが望ましい。また、ログ解析やフォレンジック分析がで きる技術者については、アウトソースを活用することも可能である。このように、CSIRTの 機能設計では、内部と外部のリソースの効果的な使い分けを考慮することが重要である。
② 体制
今回の調査結果から、CSIRTを整備する上で、能力・スキルのある人材を確保し、知見・
ノウハウを蓄積することが重要であることが明らかとなったが、その解決は容易ではない。
また、CSIRTの機能を実装するためには、情報システム、経営企画・リスク管理、広報・
渉外、法務等の各部門と連携することが重要であり、そうした連携体制をどのように形成す るか検討する必要がある。たとえば、関係部署にCSIRTの兼任者を設置する方法がある。
③ 対象範囲
アンケート結果から、日米欧とも、国内拠点についてはセキュリティ対策状況を把握して
になった。したがって、CSIRTが国内外の地域拠点やグループ企業をカバーする場合、国内 外の地域拠点やグループ企業のインシデント対応の仕組みや、本社CSIRT との役割分担に ついて検討する必要がある。
CSIRTの効果的な運用に向けて
CSIRT を効果的に運用していくためには、インシデント対応プロセスや過去のインシデント対
応について文書化し、知見・ノウハウの共有化を図ることが重要である。これは、担当者のレベ ル向上に寄与するだけでなく、担当者の交代により知見・ノウハウが消失することを防ぐ意味で もある。
セキュリティの投資評価の在り方
アンケート調査から、情報セキュリティの投資評価(定量的または定性的)の実施は、米欧が 日本より進んでいることが明らかになった。
一方、ヒアリング調査から、米欧企業ではセキュリティ予算を獲得するにあたり、自社が抱え るリスク状況や対策を実施しない場合の影響度、同業他社や同規模企業とのベンチマーク結果を 提示することで経営層の理解を得ており、必ずしもROI等の投資評価指標を重要視していないと の見解を得た。
セキュリティの予算確保のために、ROI 等の導出が必ずしも必須ではない点を理解すべきであ る。
情報セキュリティに関する開示の在り方
情報セキュリティに関する開示については、推進と否定の両論が存在する。
国内では、政府が経営者に対して平時からステークホルダーに向けたセキュリティ対策に関す る情報開示を推奨しており、国内ヒアリング調査でも、各社が様々な手段で情報開示に取り組ん でいることが明らかになった。一方、米欧では、米証券取引委員会が投資家保護の観点から上場 企業にセキュリティリスク情報について開示するよう求めているが、米欧調査では開示に伴うデ メリット(攻撃者を利する可能性等)を考慮し、開示に消極的である傾向が伺えた。
国際標準ISO/IEC 27014:2013(JIS Q 27014:2015)では、情報セキュリティガバナンスモデルを
構成するプロセスの一つとして、「経営陣及び利害関係者が,双方の特定のニーズに沿った情報セ キュリティに関する情報を交換する双方向のガバナンスプロセス」である「コミュニケーション」
が設定されており(図 2.1-3参照)、情報セキュリティに関する経営陣から利害関係者への開示が 重視されていることがうかがえる。
情報セキュリティに関する開示の是非は経営判断すべき事項の一つであるが、投資家に対する 説明責任の観点から、なんらかの適切な情報開示が求められると考えられる。したがって、デメ リットも考慮しながら、リスクを極力抑え込んだ、適切な情報開示の在り方を探ることが望まし い。
サプライチェーンのセキュリティ確保に向けて
委託先の情報セキュリティ対策を適切に管理することは、自社のセキュリティを確保する上で