Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

日本型CISOは経営層との距離が肝心

日本ネットワーク・セキュリティ協会(JNSA)がCISOハンドバックを公開した件が、Zdnetに掲載されていました。

japan.zdnet.com

CISOハンドブック

www.jnsa.org

◆キタきつねの所感

読んでみると、よくまとまっていますが・・・感覚的には堅苦しい作りになっているなと思います。経営層向けという面もあるからかも知れませんが、時間が無い(&CISOとしての知見がまだ足りない)役員級のCISOに読ませる内容としてはどうかなと考えてしまうのは、内閣サイバーセキュリティセンターなどが昨年出した『ネットワークビギナーのための情報セキュリティハンドブック』が頭にあったからかも知れません。

www.nisc.go.jp

もっと読みやすく(頭にスッと入りやすいように)作れなかったのかな・・・と思いますが、必要な事は一通りまとまっているので、読み手の頑張りでカバーされるべきなのでしょう。因みに、読みやすくと工夫されていると思ったのはコラムの解説でした。(勉強になりました)

 

Zdnetの記事では、IPAのCISOの組織上での役職データを出していました。そのデータによると、日本のCISOで、経営会議に出席が可能そうな取締役・執行役は36.9%しかいません。(英語ではCISOの最後のOがOfficer、つまり役員級を指しています)そうであるならば、このハンドブックの対象者である日本型のCISOは、経営層や、その意思決定から遠ければ遠い程、ハンドブックに書かれているCISOの役割を実行する事は困難になる可能性が高いかと思います。

CISOが経営層から遠いかも知れない人が割り当てられている日本企業の現状を考慮して、”橋渡し役”の必要性が問われている訳ですが、単にITシステムに詳しいからという理由だけでCISO(あるいはCISO補佐)を任命し、経営層がサイバーセキュリティ経営の責務を丸投げし、でも大きな権限は与えず、予算は出さない・・・というのは経営層の責務を果たしてないのかも知れません。

 

企業や組織のトップにセキュリティのリーダーシップを求めるが、多忙を極めるトップが実務に近い領域にまで関わるのは難しい。

Zdnet記事より引用)

 

この記事にある、CISOは知見が無くても仕方無い・・という日本企業の現状は、現時点ではそうなのかも知れませんが、私はこのままで良いとは思いません。将来CISOになり得るかも知れないCISO補佐が育った頃には・・・私は海外企業が引抜をかけてくると思います。

CISOは責務が重い訳であり、だからこそその待遇も良くしなければいけなりません。米国では優秀なCISOのリクルートが盛んです。欧米企業並みに、役員級の待遇・・とまではいかないのかも知れませんが、それなりの対価を払う事で貴重な人財を守る事も、これからの経営層には必要な事ではないでしょうか。

 

参考:

forbesjapan.com

 

 

ピラミッド型組織のイラスト

 

更新履歴

  • 2018年6月2日AM(予約投稿)