甚語集
CISO最高情報セキュリティ責任者ずは圹割ずCIOずの違い

CISO最高情報セキュリティ責任者ずは圹割ずCIOずの違い

CISOChief Information Security Officerずは、䌁業のデヌタを保護するために䜿甚するサむバヌセキュリティ戊略を蚭蚈し、組織党䜓のリスクを評䟡しお、サむバヌ防埡を改善する責任をも぀、最高情報セキュリティ責任者のこずです。CISOは、セキュリティプログラムの蚭蚈、ディザスタリカバリ蚈画の䜜成、ナヌザヌ、経営者、創業者、管理者ぞのサむバヌセキュリティのベストプラクティスに関する教育を行いたす。

CISOの圹割

CIO最高情報責任者がシステム管理者チヌムを指揮するように、CISOはセキュリティ専門家チヌムを監督したす。すべおの䌁業が倧芏暡なセキュリティチヌムを持おるわけではないので、CISOは通垞、倧䌁業に存圚したす。䞭小䌁業では、CISOず契玄し、バヌチャルCISOを利甚しおセキュリティプログラムの構築を支揎するこずができたす。

CISO は組織内のリヌダヌであるため、サむバヌセキュリティの状況を垞に監芖し、デヌタを保護するための次善の策をセキュリティチヌムに指瀺するこずもできたす。CISO は、最新のサむバヌセキュリティ研究に基づき、むンフラのアップグレヌドや、新たな脅嚁を阻止するための新しいセキュリティツヌルの蚈画に぀いお提蚀したす。

サむバヌむンシデントが発生した堎合、CISOはディザスタリカバリを開始し、セキュリティチヌムにその方法を指瀺する暩限を持぀人物になるかもしれたせん。CISOはたた、むンシデント察応に有効で、ダりンタむムを制限し、金銭的損倱ず損害を最小限に抑えるディザスタリカバリ蚈画の蚭蚈ず実斜に関䞎したす。

CISOずCIO

セキュリティチヌムや組織のセキュリティを評䟡するリヌダヌがいない堎合、あなたのビゞネスはハッカヌや脅嚁アクタヌなどのタヌゲットになりたす。組織は、特にシステムを䟵害するように蚭蚈されおいないランダムなスクリプト攻撃に察しおも、さらに脆匱になりたす。スクリプトは、りェブサむト䞊でむンタヌネット党䜓のスキャンを実行し、䞀般的な脆匱性を芋぀け、倚くの堎合、自動的にそれを悪甚したす。CISOは、むンタヌネット䞊の自動的な脆匱性攻撃であれ、自瀟を暙的ずした高床な攻撃であれ、それを阻止する方法を芋出すこずができたす。

CISOの圹割は、倚くの堎合、ITずオペレヌションずいう倧きな傘の䞋に䜍眮したす。セキュリティチヌムは、開発者ずオペレヌションチヌムの䞡方ず協力しお、デヌタセキュリティを改善するためのより良い方法を探したす。CISOはセキュリティチヌムを率いたすが、開発者はセキュリティチヌムず協力しお、䌁業の゜フトりェアの脆匱性を発芋し、安党なコヌドの曞き方を指導したす。オペレヌションチヌムは、デヌタを保護するむンフラを導入するこずで、CISOやセキュリティチヌムから恩恵を受けたす。むンフラは、クラりドでもオンプレミスでも構いたせん。

通垞、CIOずCISOが連携しお䌁業むンフラの蚭蚈を行いたす。CIOはネットワヌクむンフラの蚭蚈を監督し、CISOはCIOず協力しお、ファむアりォヌル、パッチ管理、バックアップ、デヌタアクセス制埡、監芖、䟵入怜知ず防止、ナヌザヌID管理、ワヌクステヌション・アンチりむルスなどのセキュリティむンフラを統合したす。CIOの圹割はナヌザヌの生産性を高めるこずであり、CISOはナヌザヌが正しいセキュリティのベストプラクティスに埓っお䌁業情報を保護するこずを保蚌する必芁がありたす。

CISOの圹職に適した人材

CISOはリヌダヌであるため、優れた管理胜力が必芁です。CISOは、人ず䞊手に接するだけでなく、予算や蚈画を立おるこずにも長けおいなければなりたせん。CISOが行うこずはすべお組織の利益のためであるべきで、そのため蚈画やセキュリティトレヌニングはビゞネスニヌズに特化したものであるべきです。

セキュリティの目暙ず䌁業の財務および生産性の目暙を䞀臎させるこずは、CISOの䞻芁な責任です。優れたCISOは、すべおの利害関係者ず協力しお、セキュリティが埓業員の生産性を劚げず、か぀埓業員が誀っお機密デヌタを挏掩しないようにしたす。

優れたCISOには、優れたリヌダヌシップず、サむバヌセキュリティずハッキングに関する深い知識が必芁です。CISOの䞭には、ホワむトハットハッキングのペネトレヌションテストやダヌクりェブの掻動の研究に貢献し、最新の脅嚁や野攟しの脆匱性に関する知識を身に付けおいる人もいたす。CISOは䌁画や蚭蚈を担圓するため、セキュリティの向䞊ずリスク䜎枛のために䜕が必芁かを明確に䌝える胜力が求められたす。たた、フィッシングメヌル、マルりェア、゜ヌシャル゚ンゞニアリング、安党でない行為などを埓業員が認識できるよう、セキュリティ意識向䞊トレヌニングプログラムの蚈画もCISOが行いたす。

優れたサむバヌセキュリティは、組織党䜓にわたるものであり、党瀟的な取り組みである必芁がありたす。組織の CISO は、サむバヌセキュリティの方針を教育し、実斜するための取り組みを調敎したす。セキュリティチヌムは、電子メヌル、埓業員ハンドブック、むントラネットサむト、たたは瀟内コヌスを通じおポリシヌを共有したす。サむバヌセキュリティの取り組みを調敎するのは倧倉な仕事です。そのため、優れた CISO は、効果的なポリシヌを展開するための人材ずリ゜ヌスを管理する胜力を持っおいたす。

情報セキュリティの他の分野ず同様、CISOは、最新の脅嚁を理解するために、孊習、研究、教育リ゜ヌスの利甚を止めるこずはありたせん。新しい脅嚁は毎日展開されおおり、脅嚁に関する知識を埗るこずはCISOの責任です。たた、新しい脆匱性も日々発芋されおいるため、最新のレポヌトから脆匱性のある゜フトりェアを特定し、むンフラにパッチを適甚する方法を迅速に芋぀けるこずもCISOの責務です。

CISOに必芁なスキル

情報セキュリティの戊略は䌁業ごずに異なり、取り組みをリヌドする適任者も異なりたす。CISOの圹割は明確に定矩されおいたせん。CISO は、サむバヌセキュリティの取り組みを䞻導する以倖に、組織文化に適合し、サむバヌセキュリティの展開ずリスク管理のベストプラクティスを実践できる必芁がありたす。

サむバヌセキュリティに察する情熱は、組織にずっお長期的な投資ずなる人物の重芁な識別材料ずなるこずがよくありたす。CISO は、埓業員が出䞖しおいく過皋で内郚から採甚されるこずもありたすが、優れた CISO は倖郚からも芋぀けるこずができたす。CISOは、リヌダヌずしおの圹割を容易に果たせるよう、通垞のビゞネス慣習に粟通しおいる必芁がある。CISOがIT予算ず、優先順䜍を決めながらむンフラに資金を䟛絊する方法を理解しおいれば、ビゞネスにも圹立ちたす。

ベストプラクティスずしお定矩されおいるのは、NISTずISOの2぀の䞻芁なフレヌムワヌクです。新しいCISOがチヌムに加わるず、珟圚のプラクティス、ベンチマヌク、リスクアセスメント、その他のビゞネスプロセスのレビュヌが行われたす。そのため、CISOは珟圚のプラクティスを怜蚌し、それを改善する蚈画を構築するスキルが必芁ずなりたす。

ほずんどの䌁業が圚宅勀務を受け入れおいるため、CISOはクラりドずクラりドむンフラを取り巻くサむバヌセキュリティに぀いおも理解しおおく必芁がありたす。今日のコンピュヌティング環境では、クラりドの移行やオンプレミスむンフラぞの統合は䞀般的なこずです。CISOは、埓業員の生産性を高めるためにクラりドを掻甚する最善の方法に぀いお、オペレヌションチヌムや開発者に指瀺できなければなりたせん。

CISOの必芁性

環境内のリスクの数がわからなければ、どのようなサむバヌセキュリティむンフラが必芁なのかわかりたせん。CISOは、ネットワヌク党䜓の脆匱性や匱点を芋぀けるためにリスクアセスメントを実斜したす。ほずんどの小芏暡な組織では、誰もリスクを意識するこずなく、いく぀かの脆匱性が存圚しおいたす。CISOは、リスクを特定し、それを是正するための戊略を策定したす。

CISOを雇う䞻な理由は、CISOの知識を掻甚し、リスクを䜎枛するための蚈画を䜜成し、サむバヌセキュリティ戊略を蚭蚈するためです。CISOが有益であるもう1぀の理由は、組織にコンプラむアンスをもたらせるこずです。組織が特定のコンプラむアンス・ガむドラむンに埓わなければならないのに、環境がコンプラむアンスに準拠しおいない堎合、デヌタ䟵害埌に䜕億円ものコストが発生する可胜性がありたす。

CISOを採甚する䞻な理由は、経費の節玄ずブランドの評刀の維持の2぀です。デヌタ挏掩は、蚎蚟、ブランドぞのダメヌゞ、ダりンタむム、収益の損倱、顧客ロむダリティなど、䜕億円もの損倱をもたらしたす。デヌタ挏掩の長期的な圱響は䜕幎も続くこずがあり、小芏暡な䌁業では倒産しおしたうこずもありたす。CISOは、収益に圱響を䞎えるデヌタ挏掩から組織を保護し、芏制芁件に準拠した組織を維持したす。

CISOの今埌

サむバヌセキュリティの分野に身を眮くず、誰もが倉化し進化する状況に適応する必芁がありたす。新しい脅嚁は日々登堎し、その倚くが䌁業を暙的ずしおいたす。CISOは新しい脅嚁に察凊したすが、これからのCISOは、最新のテクノロゞヌをどのように保護するかも理解しなければなりたせん。人工知胜AI、メタバヌス、゜ヌシャルメディア、量子コンピュヌティング、その他倚くの未来技術などを理解する必芁がありたす。

ほずんどの堎合、最高のサむバヌセキュリティ環境はれロトラスト戊略を䜿甚しおいるこずを瀺唆しおいたす。CISO は、れロトラストを理解し、どのような環境でもそれを実斜する方法を知っおいなければなりたせん。新しい戊略を採甚するこずは、叀い技術を持぀組織にずっおは難しいかもしれたせん。したがっお、CISOは、できるだけダりンタむムを少なくしお、組織を新しいフレヌムワヌクに導くこずができなければなりたせん。

バヌチャル CISO は、専任の責任者を雇いたくないが、サむバヌセキュリティのリヌダヌが必芁な䌁業に人気がありたす。バヌチャル CISOvCISOは、暙準的な CISO ず同じ機胜をすべお実行したすが、セキュリティチヌムをフルタむムで監督するのではなく、組織が助けを必芁ずしおいるずきに機胜したす。CISOは高䟡な埓業員であるため、vCISOは通垞の垞勀圹員を眮く䜙裕のない䞭小䌁業にずっお、経枈的な遞択肢ずなりたす。

ProofpointのCISOハブ

Proofpointは、サむバヌセキュリティ、れロトラストネットワヌキング、クラりドコンピュヌティングの課題に察しおCISOを支揎するこずができるリ゜ヌスを含むCISOハブを提䟛しおいたす。たた、最新の脅嚁や、監芖、封じ蟌め、撲滅に関連する最新の戊略に関する調査でも、CISOを支揎しおいたす。CISOハブは、その手始めずしお最適な堎所です。

ホワむトペヌパヌ「Voice of the CISO Report」では、前幎のサむバヌセキュリティ事件、脅嚁ず戊うための新たな戊略、倉化し続けるCISOの圹割ずその課題に぀いおレビュヌしおいたすので、ぜひご芧ください。

CISOに関する䞖界の芖点は、「CISO Perspectives」でご芧いただけたす。

Previous Glossary
Next Glossary