CISO(最高情報セキュリティ責任者)とは?役割や業務内容、注目されている背景まで転職エージェントが解説します
近年高まり続けるサーバー攻撃等のセキュリティインシデントに備え、セキュリティに精通した人材のニーズは高まっています。その中でも、CISO(最高情報セキュリティ責任者)は企業のセキュリティ対策の最高責任者だと言われています。本記事では、CISOの業務内容や役割、役立つスキルまで転職エージェントが徹底解説します。
目次
CISOとは
CISO(Chief Information Security Officer)は「最高情報セキュリティ責任者」と訳され、企業において情報セキュリティの最高責任者の役割を担います。
近年ますます重要視される傾向にあるセキュリティ対策において、CISOとは具体的にどのような業務を担当するのか、他役職と比較しながらまずは基本情報を解説します。
CISOの仕事内容
CISOの仕事内容に明確な基準はありません。
主にサイバーリスク、セキュリティインシデントに対する施策や社内への情報共有として次のような業務を行います。
セキュリティに関する施策の策定
まずは情報セキュリティを保つための方針を決定します。人材を確保し体制を整えたら、課題を洗い出し情報セキュリティポリシーの策定を行います。
サイバーリスク管理として企業内システムにおけるセキュリティ施策の策定も重要です。アクセスコントロールの実行や不正アクセス検知システムの導入などを検討し、長期的セキュリティ計画に基づいて決定します。
機密管理規程の策定も業務のひとつです。
セキュリティ監査の統括
セキュリティに関する施策を策定、実施するうえでの監査もCISOの仕事です。
セキュリティーホールを洗い出し、データの保管方法など技術的な側面をチェックする作業を統括します。
経営者寄りの役職ではありますが、現場との橋渡しも担います。
セキュリティインシデント管理
後ほど詳しく解説しますが、セキュリティインシデントは企業にとって非常に重要なリスクです。
CISOはセキュリティーインシデントの発生に備えて、体制を構築します。この社内組織をCSIRT(Computer Security Incident Response Team)と呼びます。
インシデント発生時にはCSIRTが事態収束のために対応を行い、CISOが担当するのは社内外のステークホルダーへ説明する役割です。
社内への共有・教育
上記のようなセキュリティリスクを社内へ普及させるのもCISOの重要な仕事です。
適切な人材を確保し、教育する事で企業や組織のセキュリティ対策をより万全にします。
CISOの決定は全体の方針を左右するため、相応のリーダーシップが求められるのです。
CISOと似た役職
CISOと混同しがちな役職として、CIO(最高情報責任者)やCSO(最高セキュリティ責任者)があります。
まずCIOはセキュリティに限らず「情報システム全般」の最高責任者です。
主にIT部門を担当しますが、営業部門や経営企画部門とも関わりながら社内システムの企画・導入・運用を決定し、戦略を策定します。
CSOは情報関連に限らず施設・設備や財産、従業員などを含む全体的な「保安対策」の責任者です。
CSIOより広い領域を扱うという違いがあります。
CISOが注目されている背景
実は警察庁・総務省・経済産業省の合同調査によると、不正アクセスの件数は認知されているだけでも年間で1,000件以上に及んでおり、そのアクセス管理者の内訳を見ると9割以上が「一般企業」となっています。
令和元年には約3,000件にも上った不正アクセスの認知件数ですが、令和3年にはおよそ半数の約1,500件に減少しました。しかし引き続き一般企業にはサイバー攻撃の大きなリスクがある事が分かります。
参考:総務省『不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況』
セキュリティインシデントのリスクの高まり
サイバー攻撃や内部不正によるセキュリティインシデントは、近年さらに巧妙化しています。
マルウェアによりOSではなくIoT機器に直接攻撃するパターンも激増しており、サイバー攻撃にもトレンドがあり、最新の手法を用いているのが特徴です。
情報漏洩などの重大なインシデントは企業や組織の経営そのものを揺るがします。
いざという時の権限が足りず、判断が遅れることで被害が拡大するのは防がなければなりません。
CISOの最も重要な役割であり権限は、セキュリティに対し決定権を持ち責任を取れる事です。
そのため経営層に近いリーダーシップを持ち、より迅速に対処を判断し決定を下せる責任者が必要とされるようになったという背景があります。
【あわせて読みたい】セキュリティエンジニアのキャリアパスについてもご紹介します!
CISOが担う役割
CISOが企業や組織内でどのような役割を期待されているのか解説します。
期待される4つの役割
デトロイト社によると、CISOにはマネジメント的側面と、技術的側面で役割があるとされています。
それが次の「戦略」「助言」「監視」「技術者」という4つの役割です。
マネジメント的側面
・Strategist…組織の事業・サイバーリスクに対する戦略を主導し、価値の高い投資によるリスク管理する変革を創造・推進する。
・Advisor…サイバーセキュリティに対するリスクの観点から事業に対して、教育・アドバイス・普及・啓発を行う。
技術的側面
・Guardian…サイバーセキュリティに対する脅威の全体像を理解し、リスクに関するプログラムの有効性を高めることで事業の重要な資産を保護する。
・Technologist…組織のセキュリティ機能を構築するためのセキュリティ技術及び標準の評価、導入を行う。
管理部門にも関わることが期待される
上記の通り、CISOはセキュリティの「戦略」を練り、企業や組織に対する「助言」を行うマネジメント面を主導し、リスクを「監視」しながら「技術者」としても機能を構築する役割を担います。
その中でも特にCISOに期待されているのが、アドバイザーとして情報漏洩を防ぐ教育を全社に浸透させる事です。
これまでCIOなどセキュリティ領域の責任者は存在しましたが、企業や組織全体で効果的なセキュリティ対策を行うためには一部の部門だけの認識では足りないのです。
事実、情報漏洩などのセキュリティインシデントは、ヒューマンエラーが原因となっているケースが多く見受けられます。
全体のセキュリティレベルの底上げもCISOが注目される理由のひとつです。
CISOへのキャリアパス
ここまでCISOがどのような役割を担っているのか解説してきました。
続いて、適性がある人やCISOの仕事を目指せる人の特徴です。
CISOに向いている人
インターネットセキュリティの知識がある人
セキュリティの責任者として、技術的なITスキルは必須です。例えばセキュリティエンジニアや社内SEの経験があるなど、リスクに対する知識と実質的な技術は欠かせません。
IPA(情報処理推進機構)がセキュリティに携わるエンジニアに必要としている具体的なスキルは次の通りです。
- 情報セキュリティマネジメント
- ネットワークインフラセキュリティ
- アプリケーションセキュリティ(Web、電子メール、DNS)
- OSセキュリティ(Unix、Windows、Trusted OS)
- ファイアウォール
- 侵入検知システム
- ウイルス
- セキュアプログラミング技法
- セキュリティ運用
- セキュリティプロトコル
- 認証
- PKI
- 暗号
- 電子署名
- 不正アクセス手法
- 法令・規格
CISOはこの全ての領域における基礎知識を備えておきましょう。
最新情報をキャッチできる人
サイバー攻撃に用いられる技術は最新のものであるケースが多数です。つまり防ぐ側もそれを上回る知識を習得しておく必要があります。
内閣サイバーセキュリティセンターやIPA 独立行政法人情報処理推進機構のホームページを確認するなど、自ら進んで最新の情報をキャッチアップ出来る人は適性があると言えるでしょう。
経営の基礎知識がある人
CISOは経営者の観点でもセキュリティ施策の策定を求められます。そのため、自社の経営状況や企業としての目標・展望も経営陣と同等の理解が必要です。
IT部門から目指す人は経営指標の把握も視野に入れましょう。
リーダーシップがある人
情報セキュリティの組織をけん引するだけでなく全体への普及も担うCISOは、周囲を巻き込む力を持つ人が向いています。
インシデント発生時においても、CISOの役割は技術的な対応だけではありません。関係する各部署へ協力を仰ぎチームを編成する事もあるのです。
日常業務としての教育を担当する面においても有事においても、リーダーシップがあると業務を進めやすいでしょう。
ビジネススキルを備えた人
経営陣と各部署、あるいは担当との間で橋渡しの役割を行える対人スキルは業務上必須です。
セキュリティ対策は企業にとって必ずしもそのまま利益となるわけではないという側面を持っているため、なぜその施策が必要なのか客観的な情報を用いて説明を求められるシーンもあります。
ロジカルシンキングが身についている、ものごとに冷静かつ迅速に対応できる高い課題処理能力を持っている人はCISOとして活躍が期待できます。
もし何らかの意思決定をするポジションの経験や、プロジェクトの全容を管理した経験などがあればアピールしましょう。
CISOへキャリアアップするには
セキュリティエンジニアや社内SEなどセキュリティに関する知見がある人は、財務諸表や貸借対照表といった経営の基礎知識も学ぶ必要があります。
情報システム部門でマネジメントを行った経験があるとCISOへのキャリアアップにつながりやすいでしょう。
技術面も重要ですが、営業など顧客折衝やリーダー経験も活かしやすい仕事です。
「分かりやすく伝える」「納得させる」という観点で折衝やリーダーの経験を積むと、よりCISOを目指しやすくなります。
日本ネットワーク・セキュリティ協会(JNSA)による「CISOハンドブック」にもCISOの役割や業務のあり方など活用できる情報がまとめられています。
キャリアアップにおすすめの資格
日本では、企業におけるセキュリティ管理者の必要性、意義、 最新のIT環境におけるセキュリティ、コンプライアンス、RM(リスクマネジメント)の情報発信や交換の場として2013年に日本CISO協会が設立されました。
日本CISO協会は会員や資格保有者、セミナー参加者に向けた日本CISO協会認定資格制度を行っており、2019年に「第2回CISO補佐官資格」が開催されました。
その他、CISOへのキャリアアップにおすすめの資格は次の通りです。
・情報処理安全確保支援士…「情報セキュリティサービス基準」の専門性を満たす国家資格で、通称「登録セキスペ(登録情報セキュリティスペシャリスト)」と呼ばれています。情報処理技術者試験の中では最も難易度が高くその合格率は15%前後となっています。セキュリティの専門家としての信頼度が上がる資格です。
CISOの需要は高まり続けている
セキュリティインシデントに責任者として日々向き合うCISOの仕事は、社会貢献を感じられる仕事でもあります。
これまでセキュリティの重要性を感じる仕事をしてきた人、より専門性を高めたい人だけでなく、経営の側面から企業の安全を守りたいと実感する人も目指す価値がある役職です。
大きな責任と共にやりがいのある役割を担う事ができるCISOの役割や、ニーズが高まる背景に共感できる人は、ぜひキャリアアップを目指しましょう。
IT・Web・ゲーム業界に強みを持つ株式会社ギークリーでは、セキュリティ領域の求人も多く保有しております。
転職やスキルアップをお考えの方は、お気軽にご相談ください。
この記事の監修者
-
-
ギークリーメディア編集部
主にIT・Web・ゲーム業界の転職事情に関する有益な情報を発信するメディアの編集部です。転職者であれば転職市場や選考での対策、企業の採用担当者様であればIT人材の流れ等、「IT業界に携わる転職・採用」の事情を提供していきます。
あわせて読みたい関連記事
この記事を読んでいる人におすすめの記事
