昨今はサイバー攻撃によって生じるセキュリティを脅かす事件・事故の増加に応じた対策が、各企業・組織に求められています。最高情報セキュリティ責任者(以下、CISO)は日々情報やスキルをアップデートしていく必要があります。本記事ではサイバーセキュリティの第一人者である淵上 真一氏の著書『経営層のためのサイバーセキュリティ実践入門』(プレジデント社)から、CISOが実際に情報収集や分析を行う際のポイントを紹介します。
最高情報セキュリティ責任者(CISO)は経営判断も担う
組織におけるCISO設置の動きを振り返ると、2015年に初めて『サイバーセキュリティ経営ガイドライン』が公開され、経営者が認識すべき「3原則」と、経営者がセキュリティの担当幹部(CISO等)に指示すべき「重要10項目」が示されたことで、その必要性が広く認知されるようになったのではないでしょうか。
それまでのサイバーセキュリティは、ベンダーに任せ切りであることも珍しくなく、責任の所在がやや社外にあったように見受けられました。しかし、このガイドラインが公開された頃からは、サイバーセキュリティを自分ごととしてビジネスリスクを捉え、自分たちで主体的に守る姿勢へと変化していきました。CISOの設置は、その表れだと受け止められます。
このような背景もあって、CISOには組織のセキュリティリスク管理を実施する責任があるわけです。そして、CISOは経営層の一員として経営判断も担い、セキュリティリスク対策だけではなく、リスクに基づく事業への進言も大切な役割です。
たとえば、ある事業に受容できないセキュリティリスクが現れれば、事業の継続を判断することも求められます。そんなCISOを中心にサイバー攻撃の脅威から組織を主体的に守っていくには、情報の活用がポイントになります。
サイバーセキュリティに関するさまざまな情報をリスク管理の意思決定に使うことになりますが、特にサイバー脅威に関する情報を「脅威インテリジェンス」と呼び、脅威を特定し、脅威を評価し、脅威を封じ込める活動に欠かせません。
(広告の後にも続きます)
CISOは世の中の状況や情勢の変化に応じた対策が必要
CISOにとって「先が読める状態」は、セキュリティ対策を行うのに理想の状態だと言えるでしょう。
「いつ、どこに、どんなサイバー攻撃が発生するか、どのような影響があるか」が事前にわかれば、最適な動きをすることができるからです。実際にはわからないのですが、「先が読めれば」という要望はいつの時代においても存在するものです。
そんな理想を思い浮かべるときは、何かしらの意思決定が求められており、「今、何が起きているのか?」「この先、どうなるのか?」「今、何をすべきなのか?」「どのようにして実施するのか?」といったことを頭の中で描いているのではないでしょうか。
実際には、「過去のナレッジを蓄積して、将来に生かす」「さまざまな事象を関連づけて可能性を導き出す」「仮説を立てて、根拠を基に検証していく」といった活動を繰り返し、できるだけ理想である「先が読めた状態」を目指しているはずです。
世の中の状況や情勢が変わらないとすれば、目指す理想の状態に限りなく近づけることでしょう。ところが、「世の中の状況や情勢は常に変化する」という真理があり、その影響を受けてセキュリティリスクも変化し、そのギャップ(セキュリティ上弱いところ)も常に生まれ続けるため、それに対して適切な手だてを求められ続けます。