Technology

テクノロジー

企業セキュリティの専門家 CSO に掛かる期待

AT&T ジャパン株式会社 ソリューション企画部長 門野健治
2008年7月28日 / 10:00
 
 
企業においてセキュリティ対策がきちんと実現されるか否かの多くは、セキュリティ責任者に依存する。米国型の企業統治下でのセキュリティ責任者は、皆さんにはお馴染の情報システム担当役員である CIO(Chief Information Officer)が兼ねるか、より専門化されればCSO(Chief Security Officer)や CISO(Chief Information Security Officer)などのタイトルが与えられる。

通常 CIO の役割は、IT 戦略立案やIT投資対効果の測定から、システム、ネットワークの構築/運用、ポリシー策定、人材育成まで多岐に渡る。一方で、CSO/CISO (以下、便宜上 CSO)の役割は、前述した CIO の役割の中のセキュリティに関わる部分を取り出し、リスクマネジメントの視点を加えたより専門的なものと考えていいだろう。

【米国で CSO 出現した背景】
CSO の起源もやはり米国である。米国で CEO(Chief Executive Officer)、CFO(Chief Financial Officer)や CIO(Chief Information Office)といった典型的な企業のトップマネージメントの職位に並んで CSO や CISO の名前を耳にするようになったのは2000年前後である。当初は、CIO の下でセキュリティに特化して責任をもつ職位として登場した。これは以下の理由による。

1.企業の IT への依存の増大に伴って CIO の職務が大きくなり過ぎた
2.企業がインターネットを使うことでセキュリティ対策がより重要になった
3.個人情報や機密情報保護が成熟した
4.企業のガバナンスが重視されるようになってきた

米国でセキュリティが進んでいるということに加え、米国型組織が一般に専門性を重視することなども起因していると思われる。

【米国にみる CSO に求められるもの】

では、具体的に米国企業の CSO はどんな役割を果たしているのだろうか。企業によってその職務内容や権限は異なるが、一例として最近のある米国企業の CSO の求人広告の要件を抜粋してみよう。

■職位
Chief Security Officer

■職務内容
セキュリティポリシーに基づいたセキュリティ対策を組織内で実現するために、技術力と経営管理スキルを併せ持ち、積極的にグループ内の関連会社とも協業しながら、ビジョンを持ったリーダーシップを発揮する

■経験
・ 情報セキュリティ、リスク管理、などを中心とした15-20年の職務経験
・7-10年の上位管理職、役員への業務報告
・2-5年の障害回復・事業継続計画分野での指導的役割
・ISO17799、COBIT、COSO、ITIL などセキュリティ管理フレームワークの知識

■学歴
・Information SystemかComputer Science の学士
・経営管理か Computer Science の修士

■資格
・CISSP、CISM、CISA などの情報セキュリティに関連した専門資格

この求人広告から、CSO は、専門知識と資格を有し、明確なビジョンのもとセキュリティ対策をチームと共に推し進める明らかな『リーダー』であることがわかるだろう。

米国でも CSO の黎明期には、その企業がセキュリティに積極的に取り組んでいることを社外にアピールする PR 的な役割もあったようだが、セキュリティが ISO に代表される品質保証と同じく事業の一部になるにつれ、CSO を置くことは当たり前になりつつある。

筆者は数年前に欧米のグローバル企業の CSO が集まるフォーラム(I-4)に参加した経験があるが、CSO の役割と責任がどうあるべきかという議論が既に実務体験に基づいて行われていることに強い印象を受けた。企業が事業戦略を推し進めていく上で、セキュリティ対策を含む IT 戦略の果たす役割は増大し、それに伴って CSO の責任、役割、地位もさらに進展している。

【日本は、CSO 黎明期?】
それでは日本企業ではどうか。個人情報保護法や J-SOX 法が施行されたこともあり、にわかに CSO が注目されつつある一方で、実際 CSO に相当する役員を置く日本企業はまだ多くはなさそうである。

とはいえ、CSO のグローバル資格の一つである CISSP(Certified Information Systems Security Professional)保持者の数は日本でも増えており、2008年6月末現在、保有者数は996人となっている。この数字は2004年4月に日本語での試験が開始した当初の64人から年々飛躍的に伸びている。(米国では35,887人:(ISC)2)。

また、この CISSP は、2007年1月に発表された内閣官房発表による「人材育成・資格制度体系化専門委員会報告書」の「主な情報セキュリティ資格」の一つとして、認知度が上がっているようである。「グローバルでの多層防御」の実現を目指す日本企業で、今後その重責を担う CSO に相当する役職が設置され、その地位が確立される日も遠くはないものと期待する。

(AT&T ジャパン株式会社 ソリューション企画部長 門野健治)

記事提供:AT&T ジャパン株式会社
【関連記事】
笛吹いて民間を踊らす―米国政府のセキュリティ対策
グローバル企業にとって、SaaS は必需品?―Security as a Service とは
セキュリティにおける企業の「健康診断」と「処方箋」
賢いユーザーとフリーメールが作り出すセキュリティの死角―ヒューマン系の対策
従業員はハッカーと同じ脅威?―多層防御の重要性

New Topics

Special Ad

ゆりかごからロケットまで、すべての乗り物をエンジョイ
ゆりかごからロケットまで、すべての乗り物をエンジョイ えん乗り」は、ゆりかごからロケットまで、すべての乗り物をエンジョイする、ニュース、コラム、動画などをお届けします! てんこ盛りをエンジョイするのは こちらから

Hot Topics

IT Job

Interviews / Specials

Popular

Access Ranking

Partner Sites