“CISO”は誤解を招く言葉でもあります。単に表面的な単語として“CISO”を使ってしまうと、よからぬ状況に陥る懸念もあります。まずは、その点について解説しつつ、
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください
背景
前回の記事では、サイバーセキュリティが重要な経営課題という前提の下、企業経営≒経営者として、まずは何から取り組むべきか、その最初の一歩について、孫子の言葉(彼を知り己を知れば百戦殆うからず)を踏まえて解説しました。
今回は視点を変えて、よりセキュリティ色の強いテーマが題材です。セキュリティを管掌する役員であるCISO(Chief Information Security Officer)に関して、セキュリティだけでなくビジネス目線が求められる理由を解説します。
さて、ただし、実務においては、“CISO”は誤解を招く言葉でもあります。単に表面的な単語として“CISO”を使ってしまうと、よからぬ状況に陥る懸念もあります。まずは、その点について解説しつつ、“CISO”にビジネス目線が求められる背景、及びビジネス目線の具体的なイメージを見てみましょう。
誤解しがちな“CISO”という言葉
私自身、コンサルティングの現場で、CISOという言葉を使う機会は多いです。セキュリティが経営課題として注目される中、多くの企業でCISOという言葉は認識されていると実感しています。公的な統計調査を見ても、欧米諸国には及ばないものの、年々、CISOを設置する日系企業の割合は増加傾向にあります。
しかし、言葉は知っている/わかっているということと、その組織の中で浸透しているということは全く別の話です。当たり前として使っているCISOというキーワードが、実はコミュニケーションギャップの温床そのものになるケースは往々にして見られます。それでは、実際にどのようなシチュエーションに遭遇し得るのでしょうか、以降で紹介していきます。
【シチュエーション①:役割はあるけれど・・】
コンサルティングの現場で「御社でCISOを担当する方は、どなたでしょうか?」と質問をした際、「うちには、まだCISOは存在しない」という回答を頂くことがあります。しかし、経験上、この回答には2つの解釈があります。それは、以下の通りです。
解釈1:文字通りCISOの役割を担う方が存在しない
解釈2:単にCISOという言葉を使っていないだけで、管掌役員は存在する
私自身、この解釈1と2を混在してしまい、失敗をしてしまった経験がありますが、この2つを取り間違えるのは、その後の展開に大きな影響を与えてしまいます。特に日系企業の中では、社内向けの浸透を鑑みて、CISOという横文字を“あえて”使用していないだけで、役割自体は存在するケースは多いです。CISOという単語は、対外的にみるとキャッチ―で使い勝手の良いキーワードですが、組織内の多くの従業員が違和感を持たずに、存在・役割を想起できるか・・となると、必ずしもそうではないというのが実感です。もちろん、文字通り「CISOが不在」、というケースも多いです。ただし、それは結果論です(たまたま、そうだっただけ)。あるべき姿は、相手に誤解を与えることなく、正しく問いかけし、正しい解釈での回答を引き出せるかどうかです。以上を踏まえると、以下のような問いかけが望ましいでしょう。
「御社にはCISO、つまりは、セキュリティを全社的に管掌する役員、
例えば、▢▢▢を担う方はいらっしゃいますでしょうか?」
上記の▢▢▢部分については、以降のシチュエーション③で言及しますので、まずは頭の片隅で構いません。まとめとして、CISOという言葉は一般用語であるものの、それがどの会社でも同じ位置付けで使われているとは限らない、ということにご注意下さい。特に日系企業の中では、社内向けの浸透を鑑みて、CISOという横文字を使っていないだけで役回り自体は存在する、という企業は多いです。組織に関する話題は、それぞれの企業のカルチャーによってもプロトコルが異なるため、留意する点の1つとなります。
【シチュエーション②:CISOじゃないけれど・・】
さて、ここでCISOという言葉をおさらいしましょう。IS・・つまり、Information Security/情報セキュリティに着目した用語です。情報セキュリティは従来から使われている用語です。それに対して、現在はCyber Security/サイバーセキュリティが主流になっています。それでは、両者の違いはなんでしょうか。なぜ、サイバーセキュリティが登場したのでしょうか。それは、今後のブログで解説するとして(今は伏線に留めます)、大切な事は、セキュリティを管掌する役員は、必ずしも”CISO”とは限らないということです。それでは、その他どのようなCxOとして登場するのでしょうか。一例を紹介しましょう。
ケース1:CCSO
これは「Chief Cyber Security Officer(CCSO)」です。昨今の潮流に合わせて、情報セキュリティよりも、サイバーセキュリティに主軸を置いた管掌を志向する狙いがありますが、こうした呼称を使う企業は主に欧米系に見られます。これは私見となりますが、欧米企業は社内のカルチャーよりも世間のトレンドに自社を合わせる傾向が強いです。例えば、ERPパッケージ製品をアドオン・カスタマイズしがちな一時期の日本企業に比べて、欧米の企業は、自社の業務プロセスをパッケージ製品の標準機能に合わせる傾向にある風潮と同様です。また、CISOはIT領域のみを管掌するイメージが強いため、製品・サービス・OT(制御/設備系)も含めて管掌することを考慮し、より上位の役割を想起しやすいようにCCSOと命名するケースが散見されます。
ケース2:他のCxOによる兼任
CISOを専任で設置する事例は増えています。ただし、反面、他のCxOが兼任で担うケースも散見されます。セキュリティは、ともすれば専門性の高い個別領域にも見えますが、実態としては様々なテーマが複合的に関係します。こうした背景を踏まえて、シナジーを利かせる狙いで、他のCxOが兼任するケースもあります(単純な人的リソース上の事情もありますが)。以下の図1をご覧ください。セキュリティとの関連が強いという意味で、CIO(Chief Information Officer)、CRO(Chief Risk Officer)、CTO(Chief Technology Officer)等が兼任しているケースもありますので、CISOだけでなく、広くCxO視点で、その存在・役割を確認することも重要です。
図1:CISOのタイプとその特徴
出所:グロービング株式会社 作成資料
【シチュエーション③:CISOの役割とは・・】
最後は、CISOという呼称に関するものでなく、本質的な役割に関する話題です。CISOという呼称について、クライアントと共通認識が取れていて・・と思いきや、実はCISOと思ったらそうではない方を紹介されてしまうことが、過去ありました。
それでは、CISOの役割とはなんでしょうか。所説や解釈は様々ある中、最も大事なことは、セキュリティに関する組織としての責任を担う方となります。よく間違えやすいのは、遂行責任と説明責任の違いです。前者はあくまでも現場(部門)の責任者が担う役割であり、CISOは後者の説明責任を担うべきです(客観性の担保という意味で、遂行責任と説明責任は分離することが統制上、望ましいです)。
では、説明責任とは何でしょうか。それは、現場(各部門)がセキュリティ管理の推進を適切に遂行出来ていることを組織としてジャッジし、社内外においてそれをコミットすることについて責務を負うことです。このように説明すると、実務に関わらないという意味で、CISOの負担は軽くも見えますが、実態としてはその逆です。遂行状況を正しく判断するためには、結果的に実務を理解することが必要です。加えて、その妥当性を組織で規定された適切な尺度で、正しく判断し得る“審美眼”を持たなければなりません。ゆえに、業務執行以上に重責を担うポジションと言えるでしょう。
なお、社内外の双方の目線で、説明責任を果たすことは極めて難易度の高い課題です。社内と社外では、説明相手とのコミュニケーション上のプロトコルが大きく異なります。例えば、“セキュリティインシデント”という用語が社内では通じにくいため、“セキュリティ事故”という用語で統一していた企業があります。これは、社内はともかく、社外に対しては、大きな誤解を与えてしまいます。「事故」とは英語では「アクシデント」、つまりは偶発的な出来事として扱われる傾向もありますが、端的に言うと「他人ゴト」「不運」という印象を与えがちです。しかし、インシデントは計画的に対策を講じることができる“自分ゴト”です。そのため、対外的に「セキュリティ事故」と説明した場合、昨今のサイバー攻撃への対策不足、アンテナ・温度感の低さ、という印象を与えかねない危険があります。
このようにCISOの役割は、ともそれば、大きく異なる認識ギャップとなってしまい、その結果、協議がずれた方向に進んでしまうことがあるため、注意が必要です。
CISOに求められるビジネス目線
さて、ここまでの解説を読むと、CISOはセキュリティに関する豊富な知見、さらにはそれを社内外の相手のプロトコルに合わせて、柔軟に伝え得る柔軟性が求められる人材と言えます。ただし、もう1つ大事な視点があります。それはビジネス視点です。以下の図2をご覧ください。
図2:経営におけるCISOの位置付け
出所:グロービング株式会社 作成資料
経営におけるCISOの位置付けは、経営トップと他の管掌役員との間で、会社及びセキュリティの各方針の整合を取りつつ、それを他の事業領域に連携していくという重要なものとなります。その際、何が求められるでしょうか?それは、「客観視」です。セキュリティ以外の事業領域における各役員が、どのような視点でセキュリティと向き合おうとしているか、相手の視点に自身を置き換えて、相手がどのような視点で、何をイシューとして捉え、どのような“解”を求めているかを俯瞰することが重要です。図3をご覧ください。CISOを取り巻く他部門の管掌役員の視点は様々である中、組織・業務に精通し、彼らの意見に対してどのように応対すべきか、十人十色の視点を持つことが重要です。
図3:CISOと他のCxOとの連携のイメージ
出所:グロービング株式会社 作成資料
ケーススタディ
それでは、他部門の管掌役員の視点に関して、どのように留意すればよいでしょうか。ここで、1つケースを見てみましょう。例えば、標的型攻撃があります。これは、元々は2010年前後に登場してきた攻撃であり、文字通り特定の企業を狙い撃ちする、今や最もポピュラーな攻撃手法の1つとなっています。では、この攻撃を受けた際、どのような被害が想定されるでしょうか?仮にあなたが、ビジネス部門を管掌する役員の方だとしましょう。あなたがCISOに想定被害を問いかけた際、以下のような回答が出てきたらどうでしょうか?
「マルウェアに感染した社内PCが、沿革のC&Cサーバからコントロールされ、
特権が奪取されると共に、ファイルサーバ上の機密データが社外に漏洩されて・・」
という話をしたところで、「?」となるでしょう。では、百歩譲ってシンプルに、
「情報漏洩で経営に甚大な被害が発生します」
と説明した所で、ピンとくるでしょうか。ここでのポイントは、不必要な長文になっていないか、難解な専門用語の羅列になっていないか、ではありません。“自社ゴト”化されているかどうかです。例えば、上記2つ目の例の欠点は、「誰でも容易に想像がつく内容」ということです。つまりは、自組織であろうがなかろうが、標的型攻撃を受ければどうなるか、という結末の1つとして、「言われなくてもわかる」内容となります。
つまり重要なのは、自分ゴト化・・自組織だからこそのエピソードで構成されているかどうかです。続いて、図4をご覧ください。例1に×△〇の事例があります。×の例は前述した通りですが、△はどうでしょうか。だいぶ、被害要素が強調されています。ただし、まだどこか「対岸の火事」の印象が強いです。では、〇はどうでしょうか。自社でしか知り得ない事業の話、かつ、その事業がどうなってしまうか、定量的・定性的な目線で被害が語られており、その組織の内情を知る方から見れば、引き締め感が出るパワーメッセージになるはずです。もちろん相手のパーソナリティにも依ります。よりシンプルに、よりわかりやすい例えで、より強い言い回しで・・のように、様々な伝え方が考えられますが、大事なことはその組織ならではの特徴を捉えたものがどうかです。いかに“他人ゴト”にさせないか、という配慮もCISOに求められる大事な素養の1つとなります。
なお、図4では、もう一事例取り上げていますが、同様に〇の事例は、同じ条件を満たしており、より強いメッセージとなっています。とはいえ、そもそも「〇は役員向けには長い!」という意見もあると思いますが、ここで言いたいのは、こうしたレベル感を意識しつつも、相手の趣向に応じて、△と〇の中間メッセージにする、または、定量的なトピックのみにフォーカスする等、工夫が必要ということです。
図4:CISOと他部門の管掌役員との会話のやり取りの紹介
出所:グロービング株式会社 作成資料
CISOの今後の展望
さて、ここまでの話を踏まえて、CISOという“言葉”の解釈はどう変わりましたか。普段何気なく使っているセキュリティの管掌役員≒CISOという単純な構図ではないということと、その役割とコミュニケーション上の勘所について見直す機会になれば幸いです。
今後、DXやコネクテッド化の進展に伴い、セキュリティはさらに複雑になるでしょう。単に物理・論理、攻め(ビジネス)と守り(セキュリティ)いう話でだけではなく、仮想空間⇔現実空間、ヒト⇔AI、過去⇔未来という両極の考え方を踏まえた難題が登場する可能性もあります。その際、CISOに求められるのは、何よりも「見極め力」かもしれません。
内外環境の激流の中、本質的に大切でなことである、“相手にとって価値のあること”を「審美眼」をもって柔軟に伝えることができる・・例えば、ボクシングでよく使われる言葉の1つ「当て感」こそが、これからのCISOに求められる重要なテーマかもしれません。
最後となりますが、今回の記事で登場したいくつかの伏線は、今後の記事で回収していきますので、ご期待ください。以降も変わらずご愛読いただけると幸いです。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください