★☆★JNSAメールマガジン 第85号 2016.4.28.☆★☆
(バリュークリエーションフロンティア/代表 衣川俊章)
日本でも最近やっとCISOの必要性や、資質、責務などについての議論が聞かれるようになってきました。但し、まだ実態としては、兼任のCISOを含めた企業数は増えてきているものの、専従のCISOを保有している企業は30%ほどと決して多い数字ではない現状です。
実は最近、欧米のCISOの方々、及びセキュリティ専門のアナリストに会う機会がありました。そこで分かった事の中の一つにCISOの企業内立ち位置の変化がありましたので、ご紹介したいと思います。
従来までの私が知っていたCISOは、圧倒的にCTOの下、もしくはCSO直下で、かつ「C」が役職名に付いているにも関わらずC-suiteの一員、引いては「役員」という立ち位置ではありませんでした。かつCISOがレポートしているCTOやCSOですら、C-suiteの一員や役員に名を連ねるというケースも少なかったのが現状でした。また当然、中小企業においては、CTOやCSOが兼任というケースが結構ありました。
ここからは、欧米で最近見られるようになったケースを具体的に挙げてみたいと思います。
まずは欧州金融機関で見られ始めているケースです。2パターンありまして、CFO若しくはCRO (Chief Risk Officer) の直下になっています。この場合、CFOやCROはC-suiteの一員として経営陣レベルになっているので、CISOが限りなく経営陣に近い立ち位置にいることになります。またCFOやCRO直下ということで、サイバーセキュリティが技術的課題ではなく、企業のリスクマネジメント課題として認識されてきていることが見て取れるかと思います。米国金融機関でも、この傾向は見られ始めているようです。
次はサイバーセキュリティが技術課題として認識されつつも、コンプライアンスやプライバシーなどの法的側面や管理側面からの課題として捉えられているケースです。この場合では、法務役員とCTOへのダブルレポートや、バックオフィス(管理)本部長直下というパターンを見ることが出来ます。それぞれの上司は経営陣の一員という位置づけです。
中にはCEO直結というケースも見られました。これはまだ非常にまれなケースです。こうなった経緯としては、かなり大規模のセキュリティインシデントが発生し、甚大なる損害を被ってしまった結果、CEO自身がサイバーセキュリティの重要性を最重要視することになったことで起こった措置となっています。欧米では、セキュリティインシデントが公表されてしまうと、メディアを始めとしてCEO自身が矢面に立ち、責めを受けるケースが増加してきています。これを回避するためにCISOの企業内での立ち位置を最大限に高める意図があります。ただ、この場合でもCISOは経営陣の一員には入っていません。
ここでご紹介したケースが全てとは言えませんが、サイバーセキュリティが技術課題としてだけでなく、企業リスクマネジメントの一環として認識されて来ている事で起こっている事象だと思われます。ただ1点、まだ欧米でもCISOが経営陣の一員になるケースはほぼ起きていません。この議論は現状では欧米でも賛否両論ということで、まだまだこれからの動向を見て判断していかないといけないのではないでしょうか。