あなたは、快適なオフィスで、サイバー攻撃は他人事と考えていませんか?当社のIT部門は、データやシステムのセキュリティについて、十分な対策をとっている。もしかしたら、ハッカーがシステムに侵入してくるほど、当社は、大きくもないし、有名でもないとか、または、当社は大企業なので、悪くても、ごくまれになら、データセキュリティに関する問題ならあるかもしれない、というように考えていませんか?はい、そのような考えは、改めたほうがいいかもしれません。

Hiscox保険が発表したレポートによると、サイバー攻撃による総被害額は、日本円で、450億円超ということです。同時にレポートでは、1億人以上のアメリカ人の医療データが盗まれている、と言及しています。国際的な研究でも、法人企業の40%近くが2015-2016年にランサムウェアの攻撃を受け、そのうちの34%が、ビジネス上なんらかの損害を受け、20%が業務を一時停止したことがある、と報告されています。

サイバー攻撃ランドスケープ

企業の情報システムに被害をもたらす現今のサイバー脅威は、無視できないところに至っています。業種を問わず、中小企業から大企業までのすべての企業が対象といえます。テクノロジは、ビジネスを世界的規模にまで拡大させます。シンプルなクライントサーバシステムから始まり、SaaS、クラウドストレージ、マルチプラットフォーム(例えば、多くのスマートフォンが企業資産やサービスにアクセスできるようになったBYOD)などを使った環境へと進展してきています。物理的な意味での、企業の枠を超えたデータのやり取りは、ますます増加し、この情報が流れる多くの経路は爆発的に拡大するといわれています。このシステムのオープン化の潮流は、本質的にデータとシステムを、ハッカーにさらすことを意味しています。

同時に、サイバー攻撃は、高度化してきています。いわゆる、ハッキング手法紹介サイトからだけでも、ネットワークを監視し、DDoS攻撃、フィッシング攻撃などを実行し、また新しい攻撃手法を開発することができます。それらは、企業データを盗み、それをもとにして収益を得ることを目的としています。またリムーバブルデバイスの増加は、従業員の過失または、故意による社内データ流出のリスクを高めています。セキュリティに関わるメンバは、ユーザが、自己の目標を達成するために、セキュリティポリシーの抜け穴を侵しがちであることを重々承知していると思います。これらを見過ごすと、最終的には組織にとっての機密データの流出などのリスクを高める結果となります。

セキュリティエキスパートの必要性

複雑化する事業環境や、高度化するサイバー攻撃を考えるとき、企業はデータの流出を阻止することに注意を払う必要があります。リスク分析、それらのリスクの極小化、社内のビジネス部門や外部サードパーティとの円滑な協調関係が必要となってきます。これらの献身的な努力は、情報セキュリティへの、そのような様々な欲求の達成に必要なものです。すべての業務は、セキュリティを考慮して設計される必要があります。そのためには、独立したCISOの役割が求められ、CISOは、企業のすべての情報セキュリティに対して責任をもち、セキュリティの観点から、すべてのビジネスの側面を管理する十分な権限を有する存在であるべきです。

Chief Information Security Officer (CISO)によってもたらされる価値

独立したCISOは、企業インフラと情報を防衛する、将来にわたるサイバー脅威に対する深い洞察力、指標、手段、テクニックを有します。同時に、CISOは、脅威を判断し、ビジネスにおけるインパクトを測定し、他のCxOレベルが理解しうる、わかりやすい「言語」で社内を調整するスキルも持ち合わせている必要があります。CISOは、脅威が現実のものとなる前から、積極的にこれらの行動をおこしておくことが求められます。この職責は、単に技術的知識をもち、セキュリティ環境を理解しているだけではなく、リスクが起こりうる業務についての広範な知識を持ち合わせていることも、肝要です。また、CISOは、組織にとっての十分なセキュリティ対策予算を経営層から確保する能力も重要です。さらに、ISO 27001、 NIST、 COBITなどのセキュリティ基準の多くは、セキュリティポリシーに関わる膨大な文書、ポリシーを管理監督するシニアレベルの役職も要求します。これらの基準は、企業にとってCISOの役割と責任を明確化するのに役立ちますので、CISOは、サイバーセキュリティの強化策を実装できるようになります。

CISOとしてのリーダーシップ

CISOは単に、セキュリティポリシーや手法を定義するだけではなく、従業員にセキュリティ教育を実行することも求められます。そうすることによって、セキュリティの効果は、より明確になり、セキュアなインフラを構築することができます。CISOの役割を成功に導くキーは、強固なサイバーセキュリティ戦略を設計するだけではなく、具体的なセキュリティ施策を組織内に実装することでもあります。組織は単に提供するモノ、サービスにおいて優れているだけではなく、顧客やパートナーの情報を守ることにも心がけていることを示す、重要なメッセージでもあります。