CISO Voices: CISO との対話 — パート 3
先日、グローバル企業の経営陣に対するトレーニングを提供している著名なコンサルタントJenny Radcliffe は著名なセキュリティ専門家であり、ある企業の情報セキュリティ最高責任者 (CISO) でもあるTodd Wade と、CISO の役割にまつわる誤解などについて対話しました。
その対話の中で Todd Wade が話してくれたことの重要ポイントを以下にまとめました。
CISO は自分の居場所を見つけるのに苦労している
多くの組織を見てきた結果、情報セキュリティ最高責任者 (CISO) の役割に関して共通の課題が見えてきました。一部の企業では、CISO を技術セキュリティマネージャーととらえ、企業の情報セキュリティを監督する役割を担っていると考えられていますが、それが具体的にどういう仕事なのかを明確に知られていません。全体的に、多くの企業は、CISO は何をすべきか、誰に報告すべきかを正しく理解していません。
この理解不足により、ガバナンス上の問題が起こります。リスクに関連した決定を行う権限や説明責任が CISO にない場合、こうした任務は最高技術責任者 (CTO) または同様の役割を持つ者の裁量で行われます。もちろん、こうした役割を担える優秀な CTO もいますが、そういう問題ではありません。CISO と CTO は、一方が他方に報告するといった形態ではなく、対等に連携して取り組む必要があります。
米国では、サイバーセキュリティの専門知識が取締役会レベルの要件とされるモデルに移行しつつあり、他の国々でもこのような転換が求められています。一部の組織は過去の問題から学び、CISO が CTO などに報告するようなスタイルではなくなっています。今や、取締役会は情報セキュリティ担当者から直接意見を聞くことを望んでいます。これは重要な変化であると思います。
自分事としてのサイバーセキュリティの重要性
CISO およびサイバーセキュリティチームは、メッセージを伝える際に、注意して適切な表現を使用する必要があります。これは、取締役会に対しても同僚に対しても同様です。健全なセキュリティ体制は、セキュリティチームだけでなく、企業全体が関わってこそ築けるものです。そのため、関係を構築する必要があります。
これを行う一つの方法は、各個人に、自分自身に直接関わる問題として認識してもらうことです。ハッキングや侵害による被害が自分自身に及んだ場合を想像してもらうことができれば、メッセージはより伝わりやすくなるでしょう。残念ながら、企業セキュリティを気に留めることなく、深く考えずにどんなリンクでもクリックしていた上級管理職の人を、少なくとも 1 人知っています。そういった人の銀行アカウントはハッキングされやすくなります。
そのため、メッセージを一つにし、健全なセキュリティ習慣が従業員と雇用主を保護できることを示す必要があります。自分自身や家族のためのサイバー体制の改善方法を伝えれば、こうした体制はより深く浸透し、同様の習慣が職場にももたらされるでしょう。
繰り返し台頭するランサムウェア
ランサムウェアのことは誰でも知っています。要するに恐喝の一種ですから、業界関係者でなくてもランサムウェアが何なのかは知っています。
サイバー犯罪者は、この恐喝を可能な限り長く続けようとします。コロナやウクライナでの戦争など、人の感情に訴える情報を巧みに利用します。こうした犯罪者は恥知らずであることも、ためらうことなく攻撃を仕掛ける一因となっています。そして、えてして成功します。
こうした脅威の阻止は困難でコストがかかります。そのため、すべての組織がランサムウェア攻撃に遭うものだと考えるべき、という結論になりつつあります。次の問いは以下です。今、どれだけ耐性があるのか? 被害を受けた場合には復旧までどれくらいかかるのか?
CISO 意識調査レポート
プルーフポイントは、世界各地の1,600人のCISOに聞き取り調査をおこない、サイバーセキュリティリーダーが直面している課題を掘り下げ、結果をVoice of the CISOレポートにまとめました。本レポートでは、CISOが考えている重大なサイバー脅威や、機密情報の漏えいへの対処実績、サイバーセキュリティインシデントの経営への影響、CISOの燃え尽き症候群などについてまとめています。
