セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

CISOの役割とは?

※ セキュリティの7Sについて追加しました。

企業において、セキュリティ上一番えらい役職をCSOとかCISOと呼びます。(以降、基本的にCISOで統一します)

CSO(Chief Security Officer・最高セキュリティ責任者)

CISO(Chief Information Security Officer・最高情報セキュリティ責任者)

今回は、CISOの役割や給料について読み解いてみたいと思います。

そもそも、CISOというポジションは一般的なのか?

この記事によると、Fortune 100に入る企業にはCISOは導入されている一方、米国政府が初代CISOを設置したニュースや、50%ぐらいしか導入が進んでいないとする記事まだまだ導入が進んでいる役職だと思います。

ただ、以前紹介したニューヨーク州のサイバーセキュリティ規制において、CISOを任命することが一つの規制として盛り込まれたため、今後金融業界では導入がよりいっそう進むことだと思われます。

Section 500.04 最高情報セキュリティ責任者
(a) 最高情報セキュリティ責任者。 各対象事業者はサイバーセキュリティ・プログラムの導入と監督、およびサイバーセキュリティ・ポリシーの適用に責任を持つ適切な能力を持った個人を指名する必要がある。

今回は、CISOの役割や給料について読み解いてみたいと思います。

CISOの役割とは何か?

そもそも、CISOの役割は何をすべきでしょうか?

厳密に定義することは難しく、私がいろんなセキュリティ専門家に聞いただけでも、企業規模・業種により様々です。ただ、CISOが行うべき仕事のフレームワークは検討が進んでおり、いくつかその指針になるものが存在します。

CISO Mind Map

一番よく見かけるのが、このCISO Mind Mapです。これは、Rafeeq Rehman氏のブログで提唱しているもので、毎年更新されています。(画像は、ココから引用)

f:id:security_consultant:20170120203414p:plain

2016年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

C|CISO by EC Council

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

CISSP-ISSMP by (ISC)2

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

セキュリティの7S

セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。

tech.nikkeibp.co.jp

CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。

  • Strategy(戦略)
  • Structure(組織)
  • System(システム)
  • Skill(スキル)
  • Staff(人材)
  • Style(スタイル・社風)
  • Shared Value(価値観)

CISOの組織における位置づけ

CISOの組織における位置づけはどのようなものでしょうか。

一般的な大企業であれば、経営層の一人でセキュリティに関する意思決定について経営に影響を及ぼす人と位置づけられ、CISOの上司(レポートライン)は一般的にはCIO(Chief Information Officer)であることが多く、直属の部下はSecurity Head(セキュリティ部門を率いる部門長)になることが多いと思われます。

もちろん、これも多種多様ではあり、組織ごとに異なる前提があります。

議論1:CISOの上司は誰にすべき?

RSAの調査Deloitteの調査*1によれば、一番一般的な上司(レポートライン)はCIOで、州政府の場合は89.8%がCIOであるそうです。

但し、もちろん組織によってその様相は多種多様で、CEO(Chief Executive Officer)・CTO(Chief Technology Officer)CRO(Chief Risk Officer)などの場合もありますので特に正解はないようです。

RSAの調査によると、およそ7%のCISOのみがCEOに報告していると述べていますが、この記事はその点について問題提起しています。

www.cio.co.uk

上記の記事によると、CISOはCIOではなくCEOに報告すべきと主張しており、その理由を8つ挙げています。

  1. セキュリティは企業全体のビジネスにかかわる問題であり、IT部門のみの問題ではない。
  2. PwCによれば、CIOがレポートラインの場合インシデント起因によるダウンタイムが14%以上多く存在する。
  3. PwCによれば、CIOがレポートラインの場合、金銭的損失が46%高い。
  4. セキュリティ上の懸念によりITプロジェクトに遅延が生じるとき、CIOはセキュリティ上の懸念を無視する可能性がある。
  5. CIOは、ITの生産性を阻害するセキュリティプロジェクトの承認を渋る可能性が存在する。
  6. セキュリティプロジェクトのコストが高い場合、CIOはそのお金をITに割り当ててしまう。
  7. CEOをレポートラインとすることで、CISOとCIOはお互いに平等な立場になり、セキュリティとITの問題により明確に見渡すことができる。
  8. いくつかの規制は、CISOがCEOに報告することを義務付けている。*2

全部が正しいかはわかりませんが、CIOの役割がIT戦略の立案・実行であることから、CISOとインセンティブが相反することも考えられるため、その意味では分けたほうがよいと考えられます。

議論2:CISOとSecurity Headは何が違うの?

もう一つのポイントとして、CISOとSecurity Headはなにが違うのかという点です。

これも組織・規模により様々異なりますが、一般的には、Security Headはその配下にいる各セキュリティチーム(Security OperationチームやApplication Securityチームなど)に対して指針を示し、技術的な責任を持つことが多いと思います。

一方、CISOは、政治家・外交官的な仕事が多くなると思います。

例えば、あるグローバル企業のCISOは以下のように述べていました。

  • 50%:社内外の関係構築・維持規制当局、顧客・各部門)
  • 30%マネジメント(予算・セキュリティチームのパフォーマンスなど)
  • 20%:セキュリティリスク(各部門とセキュリティの意向が衝突した場合の調整)

セキュリティの技術的仔細には踏み込まず、あくまでもSecurityの意向を外部に調整したり、その逆を行ったりすることがメインな仕事だと思われます。

CISOのプロファイル

DigitalGuardian社がCISOがどんな特徴を持っているかをまとめた資料を公表しています。

一読の価値はあると思いますが、Fortune Top 10の企業のCISOは以下の経歴だそうです。(画像は当該サイトより引用)

予想通りといえば予想通りですが、情報科学・情報工学の学位ではなく経営学の学位を持っているところが個人的には面白いと感じる部分で、先に示したとおり、ビジネスを踏まえた判断ができなければいけないことを意味していると思います。

  • 男性白人
  • 40代~50代
  • 経営学の学士号を持ち、ITもしくはIT Securityに豊富の経験を持つ
  • 典型的に持つ資格は、CISSP・CISM・ITIL

f:id:security_consultant:20170121221937p:plain

CISOの給与は?

CISOの給与ってどれぐらいなのでしょうか?

少し古いですが、ForbesがSilverBullという会社を元に記事を書いています。(記事はココ、画像はココから引用)

これによると、平均年収は204,000ドル(1ドル100円とすると約2000万円)であり、大体126,000ドル~311,000ドルの範囲となるそうです。

さらに、CISOの給与が高い6都市を挙げています。個人的には、サンフランシスコが一番高いのが以外でした。

f:id:security_consultant:20170121220424p:plain

おまけ:CSO = Scapegoat ??

CSO・CISOは最高情報セキュリティ責任者ですが、重大なのインシデントなどがあった場合、米国ではその管理責任を問われ、首になるケースも多々あります。

そのため、よく皮肉でChief Scapegoat Officerなんという冗談を言われたりします。(Scapegoatは、生贄の意味です)

まとめ

今回はCISOの役割についてまとめてみました。CISOの導入を考えている方の参考になればと思います。

*1:米国州政府に関する調査なので民間企業とは多少異なる可能性はあります。

*2:例えば、イスラエルの法律ではCISOはCEOに直接報告することを義務付けている