近年サイバー攻撃の手法は多様化・巧妙化しており、企業が標的にされた場合のビジネスに与えるインパクトは大きくなっています。セキュリティー対策が重要視される中で、「CISO」という新しい役職を設ける企業が増えてきました。

CISO（Chief Information Security Officer）とは一般的に、企業における情報セキュリティーの最高責任者を表す役職名です。

組織において万全なセキュリティー体制を構築するには、経営層と現場部門をつないで統率する存在であるCISOが欠かせません。

本記事では、CISOの役割や具体的な仕事内容、必要なスキルについて詳しく解説します。

CISOとは？

CISOとは「Chief Information Security Officer」の略称で、最高情報セキュリティー責任者を表します。

企業や組織における役員クラスの役職の一つとされることが多いですが、CIOとの兼務、危機管理やIT部門の部長クラスが担うなど、形態はさまざま。CISOは企業内のあらゆる情報セキュリティーにおいて、責任と最終決定権を持ちます。

CISOの役割とは？

CISOの役割を一言で表すなら、現在および未来の情報セキュリティーに対する脅威から企業を守ることです。

企業におけるセキュリティー対策には、経営層などトップからの強いリーダーシップが求められます。さらに現場の情報システム部門やSOC、CSIRTなどが行うセキュリティー施策、実際に各システムや各種情報を扱う社内のユーザー部門の協力が欠かせません。

このようにトップと現場の各部門が一体となって機能するために、CISOは双方を結ぶ橋渡し役となります。そしてセキュリティー対策の取り組みを企業全体へ広げるのです。

そのためCISOには牽引役としてのリーダーシップや、技術面とビジネス面双方の深い知見が求められます。

CISOはなぜ必要とされている？

近年IT化が進むにつれて、サイバー攻撃や内部不正によるセキュリティーインシデントが大幅に増えています。

ビッグデータの活用やクラウドサービスが拡大している中で、システムダウンや情報漏えいが起これば、企業は大きな損害を被るうえに世間的な信頼失墜は避けられません。

セキュリティーインシデントは企業の経営を揺るがすと言っても過言ではないため、CEOやCIOのように情報セキュリティーに対しても責任者としてのCISOが配置される動きが広がっています。

またセキュリティーインシデントが起こった場合には、被害を最小限に食い止めるため迅速な対応が求められます。

しかし現場の社員で経営に影響する重大な判断を下すことは難しいでしょう。そこに強い権限を持ったCISOを配置することで、迅速な判断のもとスムーズに対処できます。これもCISOが必要とされる理由です。

CIOとの違い

CISOと近しい役職としてCIOがあります。これらを混同しがちな人は多いのではないでしょうか。

CIOとは「Chief Information Officer」の略称で、最高情報責任者を表します。

CISOが企業の「情報セキュリティー」の最高責任者であるのに対し、CIOはセキュリティに限らず「情報システム全般」の最高責任者です。

CIOは、社内システムの企画・導入・運用や情報システムを活用した事業戦略の策定などを行います。担当範囲は主にIT部門ですが、営業部門や経営企画部門とも関わりがあります。

現状ではCIOがセキュリティー領域まで責任範囲としていたり、CIOとCISOを兼務していたりするケースも多いです。

しかし「セキュリティー対策は経営責任の一つ」という認識が広まるにつれて、専任のCISOを設置する企業は増加傾向にあります。

CISOの年収はどれくらい？

CISOは役員クラスの役職ですが、企業の規模や組織内での位置づけによって年収は大きく異なります。

日本ではほかの役職に比べてCISOを設置している企業が少ないため詳細なデータはあまり多くないですが、求人サイトを見ると年収1,000万円以上も少なくありません。

例えばセキュリティーエンジニアの平均年収は約599万円とされています。

企業によって差はありますが、セキュリティーエンジニアらを統括する立場であるCISOの年収はさらに高い傾向にあるといえるでしょう。

またセキュリティー後進国と言われる日本でも、今後はさらに情報セキュリティー対策が重要視されることが予想されます。CISOの需要が増えるにつれて、平均年収が上昇することも十分考えられます。

参考：求人ボックス

CISOの仕事内容

CISOには組織全体に情報セキュリティー対策を広め、リスクから企業を守る役割があることを解説しました。では、具体的にCISOは日々どのような業務を行っているのでしょうか。

情報セキュリティーポリシーの策定

企業や組織が情報セキュリティーを保つための全体的な指針や方針を決定します。

まずは策定に関わる適切な人材を確保し、体制を整えることからスタート。社内のセキュリティーに関する情報を洗い出して精査し、情報資産や課題を明確にしたら、企業に合わせたポリシーや戦略の最終意思決定を行います。

これらは企業全体の方針を左右する、非常に重要な業務です。

企業内システムにおけるセキュリティー施策の策定

企業内システムへの脅威に対するセキュリティー施策も重要です。

外部からのサイバー攻撃によりシステムダウンが起これば、業務に悪影響を及ぼします。また内部からの悪意のある情報漏えいのリスクも防がなければなりません。

そこでCISOが、アクセスコントロールの実行や不正アクセス検知システムの導入などについて検討します。

この時、長期的に利用できるセキュリティー計画を構築し、価値の高い投資を行う意思決定が求められます。

機密管理規程の策定

機密とは企業における重要性の高い秘密事項を表します。

例えば見積書や契約書、顧客情報や営業上の秘密事項が含まれるデータなどが該当するでしょう。これらが漏えいした場合、取引先や顧客からの信頼を失うことにより経営不振に直結することも十分にあり得ます。

社内の機密情報の評価・分類や、適切な管理規定を策定することもCISOの重要な業務です。

セキュリティー監査の統括

セキュリティー施策を実施するだけでなく、定期的に監査を行い実装状況を分析します。

具体的にはセキュリティーホールの洗い出し、セキュリティー問題につながる脆弱な設定がないか、重要データの保管方法が適切かどうかを技術的な側面から第三者的な目線でチェックする作業の統括です。

CISOは監査人から監査報告を受け、セキュリティー施策が適切で有効であるかどうかを確認できます。特に複数の子会社を含めたグループ全体など広い範囲でのセキュリティーを理解する必要がある場合、CISOが積極的に個社それぞれに監査報告を求めることが重要です。

セキュリティーインシデント管理

CISOはセキュリティーインシデントが発生した場合に備えて、インシデントの検出と対応を行う体制を構築します。

このような社内組織はCSIRT（Computer Security Incident Response Team）と呼ばれ、設置する企業が徐々に増えてきています。

実際にインシデントが発生した場合、CSIRTが事態が収束するよう動き、CISOは経営層や顧客など社内外のステークホルダーに説明を行う役割となります。CISOはCSIRTを統括・監督し、情報を得ながらセキュリティーインシデントを管理します。

CISOに必要なスキル

企業にとって重要な役割を果たすCISOには、具体的にどのようなスキルが求められるのでしょうか。

情報セキュリティーに対する深い知識および技術

CISOには多岐にわたる情報セキュリティーの責任者として、自社のセキュリティー状態を把握する仕組み作りや適切なセキュリティー施策の提案・導入、リスク分析が求められます。

情報セキュリティーに対する脅威の全体像を理解し、セキュリティー技術を評価するには深い知識と技術の両方が必須となります。

また攻撃手法やセキュリティー技術は日進月歩で進化しているため、古い技術では対応しきれません。常に最新情報にアンテナを張り、取り入れる姿勢も重要です。

経営や会計、リスク分析などのビジネススキル

CISOには技術面だけでなく、経営者視点でセキュリティー施策を展開することも求められます。

自社の経営状況や経営戦略を理解し、何がリスクになるのかを正確に判断したうえでセキュリティー戦略を主導しなくてはなりません。経営陣の一員として、経営や会計の知識も必須となります。

コミュニケーションスキル

CISOは経営層と現場部門をつなぐ橋渡し役として、企業全体にセキュリティー対策の取り組みを広めます。

日頃からセキュリティーリスクや対応に関する情報開示など、関係者との適切なコミュニケーションが必要です。

万が一インシデントが発生した場合でも、十分なコミュニケーションが取れていれば関係者の不信感を抑え、説明も容易になりスムーズな対応ができます。

リーダーシップ・意思決定力

CISOは強い権限を持つ責任者として、セキュリティー組織を牽引するリーダーシップが求められます。

また組織全体のセキュリティー意識を高めるため、各部署へもリーダーシップを発揮することが必要です。

またインシデント発生時には、CSIRTだけでは被害額や業務影響の重大さから経営上の決定ができません。CISOには技術面・経営面の双方の立場から迅速かつ適切な意思決定を行うことが求められます。

CISOを目指すには？

情報セキュリティーに対する意識が高まっている昨今、CISOはあらゆる場での活躍が期待されます。日本でのCISOの現状や、CISOを目指すために必要な要素について見てみましょう。

現在の日本企業のCISO設置状況

IPAから発行されている「企業のCISOやCSIRTに関する実態調査2017」では、日本・アメリカ・ヨーロッパの従業員300人以上の企業を対象にアンケート調査を行っています。

結果を見ると、日本で専任・兼任を合わせてCISOを任命している企業は62.6％です。他国に比べて低いものの、2017年時点で半数以上の組織でCISOが任命されていることがわかります。

また同じくIPAから2020年に発行された「企業のCISO等やセキュリティ対策推進に関する実態調査」では、専任のCISOが7.5％、兼任のCISOが92.5％と兼任の割合が大きく増えていることが分かります。

これは多くの企業においてCISOの業務内容や権限、責任が明確でないために他のポジションと兼務させている背景があると考えられます。また専任のCISOとして任命できるほどの人材が質・量ともに足りていないという課題もあります。

一方で「セキュリティに関する会議体の実施状況」の調査では、以下のような結果となっています。セキュリティに関する会議には経営層が参加することが多くあり、経営層の情報セキュリティに対する意識は高まっていることがわかります。

この結果から日本では他国に比べてCISOの設置状況や体制の整備が遅れているものの、需要は高まっていることがわかります。今後あらゆる企業において、CISOに適した人材が求められるようになるでしょう。

CISOになるために必要な経験

では、実際にCISOになるためには、どのような経験が必要となるのでしょうか。

セキュリティ関連組織でのマネジメント経験

CISOはCSIRTを率いて企業全体のセキュリティー体制を最適化します。現状のリソースをどう使い効果を最大限に発揮するか、という適切な判断が必要です。

そのため情報セキュリティーに関する知識やインシデント対応経験などはもちろん、マネジメント経験があれば限られたリソースを最大限有効に使うために役立つでしょう。

折衝経験・リーダー経験

CISOはセキュリテーィへの取り組みを企業全体に広げる立場として、あらゆる人に向けて方針や見通しを説明する機会があります。

そのため技術経験だけでなく、対外的な交渉・折衝経験があることは有利に働くでしょう。

人に伝える力、人を納得させる力はCISOにとって非常に重要です。またCSIRTをはじめ企業全体のセキュリティー施策を牽引する責任者として、チームをまとめ信頼を得ることも大切です。過去に組織やプロジェクトでのリーダー経験があれば役立つでしょう。

CISOの活躍の場は広がっている

巧妙なサイバー攻撃の脅威が広がる中で、情報セキュリティーの重要性を見直す動きは拡大しています。ITシステムが不可欠な現在の企業にとっては、避けられない経営課題といえるでしょう。

CISOは企業や組織における情報セキュリティーの最高責任者です。強い権限を持ちながら経営層や現場の各部門を横断し、セキュリティーに対する取り組みを最適化する重要な役割があります。

技術、マネジメント、経営などあらゆる素養が求められますが、セキュリティー責任者として企業を守る、非常にやりがいのある仕事です。企業におけるCISOの重要性は今後ますます高まっていくでしょう。

文／江副杏菜