ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

CISOやセキュリティ部門は
どのように配置すべきか

デロイト トーマツ リスクサービス
【第2回】 2017年3月28日
著者・コラム紹介バックナンバー
previous page
2
nextpage

CISO・セキュリティ部門の位置付け
役割に関する現状の整理

 CISO・セキュリティ部門の位置付け・役割に関する一般的な類型を図表3に示します。本稿ではCISO・セキュリティ部門に焦点を当てているため、サードラインは割愛しています。

 ①はCISO・セキュリティ部門は存在するものの、その管掌範囲は実態として非ITに限定されているケースです。個人情報保護法を契機としてセキュリティ部門及び管掌役員を設置し、いわゆる「技術的安全管理措置」をIT部門所管と整理した組織はこのケースに該当する場合が多く、このケースでは次の課題が存在します。

a. ITセキュリティについては、セカンドライン及び管掌役員が存在しない状態である。
b. IT・非IT双方に渡るセキュリティ対策全般を企画推進及び評価見直しする組織体制が存在せず、ITセキュリティ対策と非ITセキュリティ対策が別々に検討される。このため対策の網羅性、効率性が担保されない。

②はIT部門内に開発・運用管理等のファーストラインに該当する実務を行わないITセキュリティ部署を設置しているケースです。①より進化しており、このケースに該当する組織も増加しています。また、このケースではITセキュリティ部署長を指して「CISO」と呼称し、CIOの部下としてCISOが設置されている場合があります。欧米企業ではCISOの設置割合が高いと言われていますが、現状としてはCIOの部下としてCISOが設置されていることが多いようです。

 この場合においてはセキュリティ部門の管掌役員にはCISOとは別の呼称(例えばCRO:Chief Risk Officer等)が使用されます。課題としてはaが一定改善されるものの、同一部門内であり、管掌役員も同一であることからセカンドラインとしての客観性が十分に発揮されない恐れがあること、bが残存することが挙げられます。

 ③はセキュリティ部門の役割を拡充し、IT・非ITセキュリティ双方を管掌範囲とするケースです。このケースの特徴としてはセカンドラインの業務だけでなく、ファーストラインの業務(例えばITインフラのセキュリティ設計、セキュリティ監視センタの運用等)も手がけています。このケースに該当する組織は稀といえますが、サイバーセキュリティ強化を目的としてこのような体制を整備済み又は検討している組織も存在するため敢えて取り上げています。このケースについてはセキュリティ部門がファーストラインの業務を行うことで、次の課題が生じます。

c. CIO・IT部門とCISO・セキュリティ部門の職務分掌が複雑になり、両役員・部門の分担範囲の調整が困難になる。また意見相違による業務停滞が発生しやすくなる。
d. ITセキュリティについて、セキュリティ部門がファーストラインの業務を一部担っているため、セカンドラインとしての客観性が損なわれる。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧