★☆★JNSAメールマガジン 第85号 2016.4.28.☆★☆

こんにちは
JNSAメールマガジン 第85号 をお届けします。

JNSAホームページの部会・WGの活動内容を2016年度に更新致しました。
2016年度は新たにマーケティング部会と社会活動部会にCISO支援WGが発足しました。JNSAの部会・WGはJNSA会員の方ならどなたでも御参加いただけますので、ぜひ多くの方の御参加をお待ちしています。
https://www.jnsa.org/active/2016/act.html

さて、今回のリレーコラムは、バリュークリエーションフロンティア代表の衣川俊章様に「欧米におけるCISOの立ち位置について」をご寄稿いただきました。


【連載リレーコラム】
「欧米におけるCISOの立ち位置について」

(バリュークリエーションフロンティア/代表 衣川俊章)

日本でも最近やっとCISOの必要性や、資質、責務などについての議論が聞かれるようになってきました。但し、まだ実態としては、兼任のCISOを含めた企業数は増えてきているものの、専従のCISOを保有している企業は30%ほどと決して多い数字ではない現状です。

実は最近、欧米のCISOの方々、及びセキュリティ専門のアナリストに会う機会がありました。そこで分かった事の中の一つにCISOの企業内立ち位置の変化がありましたので、ご紹介したいと思います。

従来までの私が知っていたCISOは、圧倒的にCTOの下、もしくはCSO直下で、かつ「C」が役職名に付いているにも関わらずC-suiteの一員、引いては「役員」という立ち位置ではありませんでした。かつCISOがレポートしているCTOやCSOですら、C-suiteの一員や役員に名を連ねるというケースも少なかったのが現状でした。また当然、中小企業においては、CTOやCSOが兼任というケースが結構ありました。

ここからは、欧米で最近見られるようになったケースを具体的に挙げてみたいと思います。

まずは欧州金融機関で見られ始めているケースです。2パターンありまして、CFO若しくはCRO (Chief Risk Officer) の直下になっています。この場合、CFOやCROはC-suiteの一員として経営陣レベルになっているので、CISOが限りなく経営陣に近い立ち位置にいることになります。またCFOやCRO直下ということで、サイバーセキュリティが技術的課題ではなく、企業のリスクマネジメント課題として認識されてきていることが見て取れるかと思います。米国金融機関でも、この傾向は見られ始めているようです。

次はサイバーセキュリティが技術課題として認識されつつも、コンプライアンスやプライバシーなどの法的側面や管理側面からの課題として捉えられているケースです。この場合では、法務役員とCTOへのダブルレポートや、バックオフィス(管理)本部長直下というパターンを見ることが出来ます。それぞれの上司は経営陣の一員という位置づけです。

中にはCEO直結というケースも見られました。これはまだ非常にまれなケースです。こうなった経緯としては、かなり大規模のセキュリティインシデントが発生し、甚大なる損害を被ってしまった結果、CEO自身がサイバーセキュリティの重要性を最重要視することになったことで起こった措置となっています。欧米では、セキュリティインシデントが公表されてしまうと、メディアを始めとしてCEO自身が矢面に立ち、責めを受けるケースが増加してきています。これを回避するためにCISOの企業内での立ち位置を最大限に高める意図があります。ただ、この場合でもCISOは経営陣の一員には入っていません。

ここでご紹介したケースが全てとは言えませんが、サイバーセキュリティが技術課題としてだけでなく、企業リスクマネジメントの一環として認識されて来ている事で起こっている事象だと思われます。ただ1点、まだ欧米でもCISOが経営陣の一員になるケースはほぼ起きていません。この議論は現状では欧米でも賛否両論ということで、まだまだこれからの動向を見て判断していかないといけないのではないでしょうか。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★教育部会/情報セキュリティ知識項目(SecBoK)改訂委員会では、 「セキュリティ知識分野(SecBoK)人材スキルマップ2016年版」を公開しました。
 https://www.jnsa.org/result/2016/skillmap/ 
ぜひご活用ください。

★「JNSAセキュリティしんだん」第19弾「Wassenaar Arrangement - Statement of Opinion」を掲載しました。
 https://www.jnsa.org/secshindan/

★JNSAソリューションガイド特集検索に「マイナンバー技術的対応製品・サービス検索」機能を追加しました。
  JNSAソリューションガイド
 https://www.jnsa.org/JNSASolutionGuide/
   製品・サービスの登録は随時行っていただけますので、会員のみなさまのPRにぜひご活用下さい。

★以下の部会・WGでは新メンバーを募集中です。ぜひご参加ください!
「海外市場開拓WG」
「マーケティング部会」
 メンバー募集要項は事務局までお問合せください。

【事務局からの連絡、お知らせ】

★JNASでは(ISC)2やSANSの代理店として、会員企業の方を対象にトレーニングの割引販売を行っています。受講を検討されている方はぜひ御利用下さい。
★2016年度年会費ご請求書とJNSA会員登録情報確認票を会員企業各社のご連絡担当者様にお送りしております。
 ご登録情報に変更がありましたら、事務局までご連絡をお願いします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第85号
発信日:2016年4月28日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.