セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

サイバーリスク保険に関する考察

以前某論文誌にサイバーリスク保険について書いたことがあるのですが、最近またサイバーリスク保険について説明する機会があったので、ブログにまとめておこうと思います。

論文執筆時の情報を元にしているため、古い記載がある可能性があります。ご容赦ください。

そもそもサイバーリスク保険とは?

サイバーリスク保険とは、セキュリティ事故発生に伴う損害を包括的にカバーする保険です。

理論的にいうと、リスク対応戦略(回避・軽減・転移・受容)における「リスク転移」の一つになると考えられます。このリスク転移としてのサイバーリスク保険は米国では評価されており、例えばLatham & Watkins 社は、「サイバー攻撃の最終防衛ラインとして保険が有効である」と指摘し、統合的なリスク管理として保険は有益なツールであると述べています*1

私見ですが、サイバーリスク保険のメリットは大きく3つあると考えられます。

メリット1:残存リスクのカバー

インターネット等ITの恩恵を受ける限り、セキュリティリスクがゼロになることはないと思われます。そのため、対策を頑張っても程度の差はあれ、残存リスクは存在します。特にあまり予算が潤沢でないと企業ではなおさらです。サイバーリスク保険は、その残存リスクをカバーする一つの方法になります。

メリット2:被害額の固定費化

セキュリティインシデントの一つの特徴として、被害額(対応費用)が予測できないという点にあります。その理由は漏洩データ件数に大きく依存するためです。漏洩データ件数が多ければ調査にも時間を要しますし、顧客対応費用(お詫び金、顧客問い合わせ窓口の問い合わせ件数)も増加します*2

サイバーリスク保険は、その費用についてX円(例えば1億円)までは補填するというサービスになるため、保険金により費用が固定できます。

メリット3:セキュリティ・リスク管理レベルの底上げ

サイバーリスク保険に加入する際に、当然一定水準のセキュリティが求められます。時際、過去には英エネルギー企業がセキュリティ対策が弱すぎることを理由に保険加入を拒否されたケース*3が存在します。

また、保険会社のサービスの一環として、リスク診断など実際のリスクを簡易的に測定してもらうことができます。もちろん簡易的な診断ですから、概要把握にはとどまると思われますが、判断に必要な情報が手に入るという点は大きいと思います。

サイバーリスク保険は普及しているのか?

米国では、規制による罰金や集団訴訟も多いため、一般的なリスク対応戦略として知られています。

例えば、以下の文献では以下のように指摘されています。

  • PwC社のレポート*4によれば、証券取引委員会(SEC)のコンプライアンス検査局(OCIE)の指針で、金融サービス企業の加入が推奨されており、調査対象企業の44%は保険に加入している。
  • Marsh社の調査*5によれば、2014年度における正味収入保険料で20億ドルの市場規模である。

実際に過去有名な会社もサイバーリスク保険により、だいぶ助けられている様子です。少し古いですが、いくつかケーススタディを見てみたいと思います。

事例1:ターゲット社

ターゲット社は、2013年12月に情報漏洩に見舞われ、POS マルウェアで4000万件のカード情報、7000万件の個人情報が漏洩したことで有名です。

2014年年度第四半期時点で累積2.52 億ドルの対策コストを計上し、2015年3 月には集団訴訟により12.2 億ドルの賠償金を支払うことで和解しています。報道*6によると、2014年年度第四半期時点で0.9 億ドルは保険によりカバーされていると報じられており、実質的な対策費は1.62億ドル、対策コストの約35.7%が保険によりカバーされていると考えられます。

 事例2:ホーム・デポ社

ホーム・デポ社は、2014年9月に5600万枚のカード情報が流出したことで有名になった会社です。Bloomberg Businessの報道*7によれば、対策費は6200万ドルになり、2700万ドルは保険で払い戻される見通しとして、対策コストの43.5%が保険でカバーされていると知られています。

事例3:ソニーピクチャーズ社

ソニーピクチャーズ社は、2014年11月にハッキング攻撃を受け、未公開画像や従業員・有名ハリウッド女優の個人情報などが漏洩したとして知られています。その想定被害額は120億円以上だという試算もされていますが*8、保険により全額カバーされていると報じられています*9

提供されているサイバーリスク保険の特徴

サイバーリスク保険は、大手損保会社(東京海上日動・三井住友海上・損保ジャパン日本興亜・AIU保険など)ではすでに提供が開始しています。例えば、AIU保険のCyberEdgeでは、保障分野は「賠償責任に対する補償」、「行政手続きに対する補償」、「危機管理対応費用に対する補償」の基本3種類と「ネットワーク中断に対する補償」というオプション補償を規定し、実際のインシデントにかかる費用をほぼすべてカバーしている様子です。他の保険会社も大枠は同じような補償サービスです。

金融庁の委託研究*10にによれば、海外の動向も同様の傾向にあるようです。ただ、その補償範囲は少しづつ米国では拡大していると思われます。米大手保険会社AIGのアナウンス*11によれば、2014年4月にサイバーリスク保険の補償範囲を物損や人体への被害まで拡張することを発表しており、IoT(モノのインターネット化)やSCADAへのセキュリティを意識した保険だと考えられます。

サイバーリスク保険の保険料・支払額

サイバーリスク保険の保険料・支払額については、その実態がわからない状態です。日本の損保会社も原則個別見積もりとなっているのが実情だと思います。

保険数理の実務的観点からは、重要な保険数理上のデータが手に入らないため、伝統的な手法でリスク評価をすることが難しく、保険料の料率・リスク評価方法について検討段階にあるという指摘*12もされています。

私見ですが、まだ統計的に分析できるデータが集まっていないというのが正直なところなのではと思います。その中で、Marsh社はCyber IDEAL(Identify Damages, Evaluate, and. Assess Limits)という独自の分析手法を確立しており、一つの競争源泉になっているのではと推測されます*13

参考になるケースとすると、Cyber Data Risk Managers社がモデルケースをだしてくれています。また保険の支払額については、NetDiligence社のレポート"Cyber Liability & Data Breach Insurance Claims"*14が詳しく分析しており、平均的な保険金支払額は49.5万ドルだと分析しています。

まとめ

サイバーリスク保険は、まだまだ日本では普及していないサービスだと思われますが、今後より一層重要だと思います。今後も動向を抑えるために以下のレポートは押させていくと良いと思われます。

  • NetDiligence社 "Cyber Liability & Data Breach Insurance Claims"*15

  • Insurance Information Institute "Cyberrisk:Threat and opportunity" *16

  • Marsh社(サイバーリスク保険関連で色々なレポートを出版)

*1:https://www.lw.com/thoughtLeadership/lw-cybersecurity-insurance-policy-coverage

*2:ちなみに、自発的に相場500円のお詫び金を払う習慣があるのは日本だけで、米国では基本的に訴訟をしない限り補償はされないと考えたほうが良いと思います。そのため、Class Actionと呼ばれる集団訴訟が発展しているわけですが...

*3:http://www.bbc.com/news/technology-26358042

*4:https://www.pwc.com/jp/ja/advisory/research-insights-report/assets/pdf/information-security-survey2015.pdf

*5:http://www.reuters.com/article/us-insurance-cybersecurity-idUSKBN0FJ0B820140714

*6:http://www.bankinfosecurity.com/target-breach-costs-162-million-a-7951

*7:https://www.bloomberg.com/news/articles/2014-09-18/home-depot-hacked-after-months-of-security-warnings

*8:http://jp.reuters.com/article/sony-cybersecurity-costs-idJPKBN0JO01Y20141210

*9:http://jp.reuters.com/article/spe-insurance-idJPKBN0KI02U20150109

*10:http://www.fsa.go.jp/common/about/research/20150706-4/01.pdf

*11:http://money.cnn.com/2014/04/23/technology/security/aig-cybersecurity-insurance/

*12:http://jp.reuters.com/article/insurer-cyber-idJPKBN0FK0B420140715

*13:保険に詳しいわけではないので、どんな分析手法かは推測の域を出ていません

*14:https://netdiligence.com/wp-content/uploads/2016/10/P02_NetDiligence-2016-Cyber-Claims-Study-ONLINE.pdf

*15:https://netdiligence.com/wp-content/uploads/2016/10/P02_NetDiligence-2016-Cyber-Claims-Study-ONLINE.pdf

*16:http://www.iii.org/sites/default/files/docs/pdf/cyber_risk_wp_102716-91.pdf

米国文化とセキュリティ - なぜ自動化が積極的に採用されるのか?

昔からセキュリティ製品評価をしていると、自動遮断・自動連携など自動化のうたい文句にしていることが非常によくあります。最近は米国のカンファレンスに頻繁に参加していますが、多くの製品のキーワードとして「自動化」は目玉機能として紹介されます。

しかしながら、実際に評価してみると、かなり怪しい検知でも平気で連携・遮断されるし、誤判定が多かったり、きちんと連携されていない製品もあり、米国の導入企業実績などを聞くと、「よくこの怪しい自動化機能を使っているよな?」と思ったことが良くありました。(もちろん驚くべきほどうまく設計された自動化機能もありますので、一概には言えませんが)

個人的には、攻撃を自動遮断したり、検知した内容をもとに他のセキュリティ製品に設定を自動的に連携する技術はクイック・レスポンスを期待できるものの、不用意にユーザの通信を止めてしまうなど、ユーザ・ビジネスに影響を与えかねない危険な手法という感想を持っていました。

今回、米国に1年間いる中でその答えが見えた気がするので、今回はその背景の理由(米国文化とセキュリティ)考えてみたいと思います。

ワーク・スタイル

 米国のワーク・スタイルは日本と大きく異なります。特に異なる特徴として、以下の3つが挙げられると思います。(なお、いろんな会社の人に聞きましたので、米国共通の特徴だと思われます)

  1. 人材の流動性が高い。(人の入れ替わりが激しい)
  2. 時間に対する価値が高い(手動作業を好まない)
  3. Job Descriptionが明確に定義されている(該当しない仕事はしない)

自動化機能が流行する理由

さて、上記を踏まえて、自動化機能が積極的に採用される理由を考えて見ましょう。

理由1:人材の流動性が高いため、人に依存しないプロセスを構築する

第一の理由として、「米国では人材の流動性が高い」という理由が自動化と大きく関係していると思われます。米国の人材流動性の高さは、日本企業のサラリーマン感覚からすると不思議そのもので、着任して環境に慣れたかと思うと1ヶ月であっさりやめていくケースもありますし、気付いたら荷物がなくやめていたということも多々あります。入れ替わる理由は、パフォーマンスが低いなどの理由で契約終了となるケースもあれば、キャリアアップのため転職するなど理由は様々*1です。

すると、チームには以下のインセンティブが働き、緊張関係が生まれます。

  • マネージャー
    • 人に依存せずに業務が回る仕組み(プロセス)を構築する
  • メンバー
    • Job Securityの観点から、プロセス構築に積極的でなくなる。

チームを運営するマネージャーは、いつメンバーがやめたり、パフォーマンスが悪く契約終了という決断してもよいように、なるべく人に依存しない仕組み(プロセス)を構築しようとします。その典型例が、ツールによる自動化で、なるべく人に頼らず運用が回る仕組みを整えようとします。ほかにも、SOP(Standard Operating Procedure)と呼ばれる詳細手順書を作り品質や手順を標準化しようとします。

ちなみに、この米国文化はメンバーに対して属人化を推進するインセンティブとして働きます。自分の雇用を守ることをJob Securityといいますが、仕事を自分しかできない・しらない状態にしてJob Securityを守ろうとするインセンティブが働くため、意外と文書化を好まない傾向*2が見受けられます。

理由2:時間の価値が非常に高い

感覚的に感じていることですが、米国では時間に対する価値が日本に比べて高いと感じています。そのため、以下のような事象がよく発生します。

  • 打ち合わせにも絶対に必要な人しか基本的には参加しない
  • 時間内に終わらない場合、マネージャーに優先順位をつけてもらい仕事を減らす
  • スクリプトなどで自動化できる作業を、手作業でやることを嫌う。どうしても手作業でやらなければいけない作業はサンプリングや代替手法を採用する。

そのため、米国のエンジニアからすれば「自動化できるのに、なぜ手動のプロセスを入れるのか?」という感覚が強いのだと思います。

理由3:「運用でカバー」という概念がない(少ない)

決してないわけではないですが、日本に比べて「運用でカバー」の適用事例が圧倒的に少ないと思います。米国の特徴として、Job Description(仕事の内容)が明確に定義されており、関係ない仕事、契約と異なる仕事は断る傾向があり、非常にドライな部分があります。

そのため、セキュリティの追加手動確認などを運用でカバーする(人が頑張ってどうにかする)という発想になりづらく、その代わりとして自動化が出てくるのだと思われます。

理由4:不確実性への許容度

最後に、米国の自動化製品を日本人に受け入れがたい理由のひとつに、日本人のもつ几帳面で、不確実性をできるだけ回避しようという傾向があります。*3

そのため、日本企業では自動化で誤検知をする不確実な仕組みにネガティブな反応を示しがちですし、手動プロセスを入れて正確性を高め、完璧を追求しようとします。一方、米国では統計的に判断をする傾向にあり、完璧を目指さず、リスクが一定量以下になればよいという発想が強くなります。

まとめ

米国初の製品はよく自動化機能を押してくることが多く、また米国でも自動化によるプロセス改善はよく行われていました。(その一方、日本はまだまだ自動化に慎重だと思われます)どちらが良いということではありませんが、文化の違いがセキュリティの実装にも大きく違いが出てくるのだと感じています。

*1:現時点で、米国のセキュリティ人材は売り手市場にありますから、パフォーマンスを理由に契約終了になるケースよりは、転職がメインだと思います。

*2:もちろん、自分がやってよくわかっている仕事について、わざわざ面倒な文書化をしたくないなど、ほかにも色々なインセンティブはあると思いますが

*3:この不確実性への許容度については、ホフステッドの6次元文化モデルなどで学術的にも研究データが示されています。詳しく知りたい方は、コチラをご参照ください。

SANS Cyber Threat Intelligence Summitに参加してきた!!

以前、SANS Cyber Threat Intelligence Summitに参加してきました(バックデートして投稿しています。)

SANS Cyber Threat Intelligence Summitとは?

SANS Cyber Threat Intelligence Summitとは、SANSが開催しているThreat Intelligenceに関するサミットです。全体的に良いセッションでしたが、CFP(Call For Papers)のプロセスがあまり大幅に打ち出されていないためか、全体的におとなしいセッションという印象を受けました。ただし、米国でも唯一のCyber Threat Intelligenceのサミットであるため、その意味では貴重なカンファレンスだと考えられます。*1

カンファレンスのプレゼンテーションは、すべてここに公開されていますので、興味がある人は見てみてください。

digital-forensics.sans.org

いくつかの講演をピックアップ

いつも通り、いくつか講演を紹介したいと思います。

Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks

Cyber Threat Intelligenceの世界では、Cyber Attribution(攻撃者の特定)が流行しています。しかし、このプレゼンテーションでは、Cyber Attributionを実施しても実は攻撃者にだまされているのではというプレゼンテーションです。

重要なのは後半部分に展開された議論で、どのAttributionでやるべきか議論している点で、Government・Private・Mediaと分類しつつ、PrivateはAttributionなどはあまりやる必要がないと述べてた点が印象的でした。

プレゼンテーションは、別の場所で発表された内容が公開されていたのでそちらを見てください。

www.youtube.com

発表者と個別に話をしましたが、プライベート企業はCyber Attributionをやる意味はないとコメントしていました。その理由としては、「誰が攻撃してこようと、守らなければいけない事実は変わらないのであまりやってもしょうがない」とのことでした。それよりも、Cyber Threat Intelligence Analystは脅威情報や攻撃の動向を以下に収集するか、ベンダーの提供される情報をいかに効率よくやるか(Feed Comsuption)に注力すべきといった議論もなされました。

Threat Intelligence At Microsoft: A Look Inside

MicrosoftのCTI環境についてのプレゼンテーションでした。内容は普通でしたが、プロダクトごとに扱いが異なるため、12個のSOCを持ち、00人近いThreat Intelligenceの人がいることなどが話されていました。

The Threat Intel Victory Garden

Splunkの人の講演で、Splunk用にいろいろツールを作って無償で公開したという話でした。米国では、Internal Thereat Intelligence(内部のログデータから出てくるThreat Intelligence)と統合してレバレッジを利かせることがよく議論に出ますが、それを支援するツール群だと考えられます。

www.slideshare.net

その他

Cyber Threat Intelligence Analystプログラムとしては、SANS以外にもいろいろあるようです。個人的には、Udemyは安価ですし、おすすめできるコンテンツなのではないかと思います。

もう一つ、DNSTwistというツールについて触れられていました。指定したドメインと似たようなドメインを探索してくれるツールの様子です。同じようなPhishing発見ツールとして、DomainTools PhishEyeもこの製品が挙げられますが、その簡易版というイメージです。ただし、DomainToolsの圧倒的な強みはクローリングにより蓄積された膨大なデータなので代替にはなりえないと思いますが、一つの選択肢としてはよいかと思いました。

github.com

まとめ

今回初めてSANS CTI Summitに参加してみました。セキュリティ研究の権威ある機関であるため信頼性の高い情報が多い一方、比較的他のカンファレンスと比較しておとなしく画期的な部分が少ない印象を受けます。個人的には、資料も公開するのでオンラインで追っていくのがよいのではと考えています。

*1:調べてみた限り、「Cyber Threat Intelligence and Incident Response」というイギリスのカンファレンスもあるようです。

CISOの役割とは?

※ セキュリティの7Sについて追加しました。

企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。(以降、基本的にCISOで統一します)

CSO(Chief Security Officer・最高セキュリティ責任者)

CISO(Chief Information Security Officer・最高情報セキュリティ責任者)

今回は、CISOの役割や給料について読み解いてみたいと思います。

そもそも、CISOというポジションは一般的なのか?

この記事によると、Fortune 100に入る企業にはCISOは導入されている一方、米国政府が初代CISOを設置したニュースや、50%ぐらいしか導入が進んでいないとする記事まだまだ導入が進んでいる役職だと思います。

ただ、以前紹介したニューヨーク州のサイバーセキュリティ規制において、CISOを任命することが一つの規制として盛り込まれたため、今後金融業界では導入がよりいっそう進むことだと思われます。

Section 500.04 最高情報セキュリティ責任者
(a) 最高情報セキュリティ責任者。 各対象事業者はサイバーセキュリティ・プログラムの導入と監督、およびサイバーセキュリティ・ポリシーの適用に責任を持つ適切な能力を持った個人を指名する必要がある。

今回は、CISOの役割や給料について読み解いてみたいと思います。

CISOの役割とは何か?

そもそも、CISOの役割は何をすべきでしょうか?

厳密に定義することは難しく、私がいろんなセキュリティ専門家に聞いただけでも、企業規模・業種により様々です。ただ、CISOが行うべき仕事のフレームワークは検討が進んでおり、いくつかその指針になるものが存在します。

CISO Mind Map

一番よく見かけるのが、このCISO Mind Mapです。これは、Rafeeq Rehman氏のブログで提唱しているもので、毎年更新されています。(画像は、ココから引用)

f:id:security_consultant:20170120203414p:plain

2016年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

C|CISO by EC Council

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

CISSP-ISSMP by (ISC)2

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

セキュリティの7S

セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。

tech.nikkeibp.co.jp

CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。

  • Strategy(戦略)
  • Structure(組織)
  • System(システム)
  • Skill(スキル)
  • Staff(人材)
  • Style(スタイル・社風)
  • Shared Value(価値観)

CISOの組織における位置づけ

CISOの組織における位置づけはどのようなものでしょうか。

一般的な大企業であれば、経営層の一人でセキュリティに関する意思決定について経営に影響を及ぼす人と位置づけられ、CISOの上司(レポートライン)は一般的にはCIO(Chief Information Officer)であることが多く、直属の部下はSecurity Head(セキュリティ部門を率いる部門長)になることが多いと思われます。

もちろん、これも多種多様ではあり、組織ごとに異なる前提があります。

議論1:CISOの上司は誰にすべき?

RSAの調査Deloitteの調査*1によれば、一番一般的な上司(レポートライン)はCIOで、州政府の場合は89.8%がCIOであるそうです。

但し、もちろん組織によってその様相は多種多様で、CEO(Chief Executive Officer)・CTO(Chief Technology Officer)CRO(Chief Risk Officer)などの場合もありますので特に正解はないようです。

RSAの調査によると、およそ7%のCISOのみがCEOに報告していると述べていますが、この記事はその点について問題提起しています。

www.cio.co.uk

上記の記事によると、CISOはCIOではなくCEOに報告すべきと主張しており、その理由を8つ挙げています。

  1. セキュリティは企業全体のビジネスにかかわる問題であり、IT部門のみの問題ではない。
  2. PwCによれば、CIOがレポートラインの場合インシデント起因によるダウンタイムが14%以上多く存在する。
  3. PwCによれば、CIOがレポートラインの場合、金銭的損失が46%高い。
  4. セキュリティ上の懸念によりITプロジェクトに遅延が生じるとき、CIOはセキュリティ上の懸念を無視する可能性がある。
  5. CIOは、ITの生産性を阻害するセキュリティプロジェクトの承認を渋る可能性が存在する。
  6. セキュリティプロジェクトのコストが高い場合、CIOはそのお金をITに割り当ててしまう。
  7. CEOをレポートラインとすることで、CISOとCIOはお互いに平等な立場になり、セキュリティとITの問題により明確に見渡すことができる。
  8. いくつかの規制は、CISOがCEOに報告することを義務付けている。*2

全部が正しいかはわかりませんが、CIOの役割がIT戦略の立案・実行であることから、CISOとインセンティブが相反することも考えられるため、その意味では分けたほうがよいと考えられます。

議論2:CISOとSecurity Headは何が違うの?

もう一つのポイントとして、CISOとSecurity Headはなにが違うのかという点です。

これも組織・規模により様々異なりますが、一般的には、Security Headはその配下にいる各セキュリティチーム(Security OperationチームやApplication Securityチームなど)に対して指針を示し、技術的な責任を持つことが多いと思います。

一方、CISOは、政治家・外交官的な仕事が多くなると思います。

例えば、あるグローバル企業のCISOは以下のように述べていました。

  • 50%:社内外の関係構築・維持規制当局、顧客・各部門)
  • 30%マネジメント(予算・セキュリティチームのパフォーマンスなど)
  • 20%:セキュリティリスク(各部門とセキュリティの意向が衝突した場合の調整)

セキュリティの技術的仔細には踏み込まず、あくまでもSecurityの意向を外部に調整したり、その逆を行ったりすることがメインな仕事だと思われます。

CISOのプロファイル

DigitalGuardian社がCISOがどんな特徴を持っているかをまとめた資料を公表しています。

一読の価値はあると思いますが、Fortune Top 10の企業のCISOは以下の経歴だそうです。(画像は当該サイトより引用)

予想通りといえば予想通りですが、情報科学・情報工学の学位ではなく経営学の学位を持っているところが個人的には面白いと感じる部分で、先に示したとおり、ビジネスを踏まえた判断ができなければいけないことを意味していると思います。

  • 男性白人
  • 40代~50代
  • 経営学の学士号を持ち、ITもしくはIT Securityに豊富の経験を持つ
  • 典型的に持つ資格は、CISSP・CISM・ITIL

f:id:security_consultant:20170121221937p:plain

CISOの給与は?

CISOの給与ってどれぐらいなのでしょうか?

少し古いですが、ForbesがSilverBullという会社を元に記事を書いています。(記事はココ、画像はココから引用)

これによると、平均年収は204,000ドル(1ドル100円とすると約2000万円)であり、大体126,000ドル~311,000ドルの範囲となるそうです。

さらに、CISOの給与が高い6都市を挙げています。個人的には、サンフランシスコが一番高いのが以外でした。

f:id:security_consultant:20170121220424p:plain

おまけ:CSO = Scapegoat ??

CSO・CISOは最高情報セキュリティ責任者ですが、重大なのインシデントなどがあった場合、米国ではその管理責任を問われ、首になるケースも多々あります。

そのため、よく皮肉でChief Scapegoat Officerなんという冗談を言われたりします。(Scapegoatは、生贄の意味です)

まとめ

今回はCISOの役割についてまとめてみました。CISOの導入を考えている方の参考になればと思います。

*1:米国州政府に関する調査なので民間企業とは多少異なる可能性はあります。

*2:例えば、イスラエルの法律ではCISOはCEOに直接報告することを義務付けている