リスク多様化の時代に求められるCISOの役割とは

DX時代に求められる「CISO 2.0」とは

外村：
最近、クライアントのCISOからお話を伺っていて感じるのは「CISOの担うべき役割の範囲は以前よりも拡大している」ということです。梶浦さんはこれまでのご経験からさまざまな業界のCISOを支援されてきましたよね。そのお立場からご覧になって、現在のCISOの役割をどのように捉えていらっしゃいますか。

梶浦：
日本で「CISO」という単語が知られるようになったのは、この5年ぐらいです。ただし、その役割や立場は企業規模や売上規模、さらに企業のデジタル化の進捗度合いによって異なると考えます。例えば、大手企業にCISOがいるのは当たり前です。しかし、中堅・小規模企業でCISOを擁している企業はほとんどありません。さらに言えば、CIOがいない企業も少なくないのが現実です。

CISOに求められる役割は業種によって異なり、3グループに大別されると考えます。

1つ目はITやITを活用したサービスをビジネスのコアとしている企業や通信キャリアのグループです。このグループは資産のほとんどがITやそれを活用したデジタルサービスなので、ITセキュリティは損なわれると致命傷になるのできわめて重要です。ですから、ある程度の投資をし、人的リソースも含めて予算を確保しています。これらの企業のCISOは自らの権限で実施できる施策が多い反面、責任も重いという特徴があります。

2つ目は金融や重要インフラをビジネスとするグループです。このグループはITサービスがビジネスの中心ではありませんが、ITサービスの比率が高かったり、サービスの重要基盤がITだったりします。例えば、電力会社の電力供給システムはITが支えています。もしサイバー攻撃によって電力供給が停止すれば、一般市民に多大な影響を与えてしまいます。こうした企業はCIOとは別にCISOを配置し、その役割を明確化しています。

ただし、物理的なセキュリティに対しては、CISOの権限では対処できない場合もあります。例えば、銀行の基幹システムはIT部門の管轄であり、CISOがセキュリティ対策を担います。しかし、紙幣計数機や街中に設置されているATM（現金自動預払機）など、現場に導入されている機器に対しては、CISO権限で何か対策を講じようとしても基幹システムほど容易には実行できません。

そして3つ目は製造業グループです。現在、製造現場ではITとOT（制御系システム）の統合が進んでいますが、OT環境のセキュリティ対策はIT環境とは大きく異なり、対策も複雑です。24時間365日の稼働を前提としているOTは、ITのようにセキュリティパッチをすぐに適用させられません。また、カスタマイズで作り込んだアプリケーションを利用している場合は、たとえOSのサポートが終了していたとしても、すぐにはアップデートできません。こうした領域は、CISOがどんなに頑張っても手が出せないのです。

外村：
かねてから梶浦さんは「CISOは『1.0』から『2.0』になる必要がある」と説かれています。「CISO 1.0」と「CISO 2.0」では、その役割にどのような違いがあるのでしょうか。

梶浦：
「CISO 1.0」の役割は、中長期的なセキュリティ対策を立案し、インシデント対応を含めたリスクマネジメントを担うことです。あくまでも一般論ですが、CISOがボードメンバーの一員になっている企業は、他のボードメンバーとコミュニケーションができる環境にありますから、経営層の信頼が得られやすく、ある程度の予算を持って采配を振るうことができます。ここまでが現在のCISOが担う領域で、「CISO 1.0」の世界です。

一方「CISO 2.0」は情報セキュリティの技術的な領域だけでなく、DXまでを網羅します。

私が代表理事を務めるシンクタンク日本サイバーセキュリティ・イノベーション委員会（JCIC）では「DX with Security」をテーマに掲げています。

企業にとってDXは「儲けるための手段」です。しかし、そこでセキュリティが担保されていなければ、儲けるどころか大きな損害を被る可能性が高まります。ですからCISOはセキュリティ専門家の視点で「DXに必要なセキュリティ対策とその費用対効果」を試算し、それを経営層に説明することが求められます。私は経営層に「DXで儲けたお金をセキュリティに回しましょう」と訴えていますが、そのための最も重要な職務はCISOです。

外村：
「DXにはサイバーセキュリティ対策が必然」と考える経営者が増えれば、「セキュリティへの出費は損金ではなく投資である」との認識が広まりますね。

梶浦：
「3つのディフェンスライン（防衛線）」に当てはめて考えてみると、これまでのCISO（CISO 1.0）はサイバーリスクに対する監視を行う第2線でした。これに対してCISO 2.0は第2線としての役割を果たしつつ、リスクオーナーとしてリスクコントロールを行う第1線にもある程度関与する必要がなります。これが「CISO 2.0」に対する期待です。

CISOはサイバーリスクの許容範囲も考える

外村：
お話を伺っていると、CISOはITの計画・立案・実行という役割はもとより、あらゆる事業リスクに目を配り、事業部の責任者を支える役割も求められると感じました。これが「CISO 2.0」という理解でよいでしょうか。

梶浦：
そのとおりです。これまで事業部門の責任者はサイバーリスクに関心を寄せていませんでした。「ITの不具合はIT部門の責任」というスタンスで、「サイバー攻撃なのか故障なのかは分からないが、ITシステムが停止した場合、復旧までにはどのくらい時間がかかるのか」という質問しかしてきませんでした。しかし、近年は事業部門の責任者も「サイバーリスクと故障のリスクは根本的に違う」ということを認識し始めています。

故障リスクは確率論であり、ある程度は予測できます。だからこそ定期的にメンテナンスをして予防しますよね。一方、サイバーリスクは確率論ではありません。標的にされれば、間違いなくリスクは発生します。

このリスクを低減させるには、事業部門の責任者が「サイバーリスクは事業リスク」であることを認識し、事業部の情報をCISOと共有する必要があります。同時にこれまで後付け対策でしのいできた「守りのサイバーセキュリティ対策」から、今後は事業を直接支える「攻めのサイバーセキュリティ対策」に転換しなければなりません。実際、こうした動きはすでに始まっています。その旗振り役をCISOが担う企業は、より安全で競争優位性の高い企業であると言えるでしょう。

外村：
これまでサイバーリスクと事業リスクを個別に考えていた企業も、今後は「ITリスク×（with）事業リスク」として考えるようになってきたのですね。そうなるとCISOには「ビジネスも理解したうえでサイバーリスク判定ができる能力」が求められるのではないでしょうか。

梶浦：
はい。CISOは「ITシステムを滞りなく運用する」という業務領域から、「事業リスクを想定し、その許容範囲を考える」といった、経営にかかわる領域も網羅することが求められます。その分水嶺を超えた人がCISO 2.0だと考えます。

外村：
そうなると、CISOにはどのようなバックグラウンドを持った人材が適任なのでしょうか。

梶浦：
そこが難しいところです。ITやセキュリティに詳しく、かつ事業部門に所属していた経験のある人材を擁している企業であれば、自社内で適任者を見つけられますが、そうした企業は少数でしょう。ほとんどの企業ではIT部門の中でセキュリティに詳しそうな人材を充てています。そうした人材もいない企業では、中途採用で充てることになります。

よくあるのはボードメンバーの推挙でセキュリティベンダーやシステムインテグレータからセキュリティ専門家を採用したものの、会社の事業には詳しくないため、パフォーマンスを十分に発揮できないというケースです。例えば、金融機関のCISOに就任したセキュリティエキスパートが、金融機関に特有の事業内容と経営を学びながら日々のインシデント対応や予算の確保、後継の育成までを担当するのは無理がありますよね。

外村：
セキュリティ部門とIT部門は必要とする技術に近似性があることから近くに設計され、組織によってはCIOがCISOを兼務しているケースもありますが、CISOとCIOの仕事は似て非なるものです。

梶浦：
おっしゃる通りです。CIOもCISOもITやデジタルに関する知識は必要ですが、CISOにとって最も重要なケイパビリティは「高いリスク感度」です。

リスク感度とは、言うなればリスクを嗅ぎ分ける能力で、危機を察知する動物的本能です。例えば、生成AIのような突如として現れたサービスを事業部門が前のめりで利用しようとした際、今後起こりうるリスクを肌感覚で察知し、「このままでは危険だから、ちょっと立ち止まって考えよう」と言えるかどうかです。こうしたリスク感度が高ければ、仮に技術力が弱かったとしても、その部分はIT部門にカバーしてもらえます。