ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

CISOやセキュリティ部門は
どのように配置すべきか

デロイト トーマツ リスクサービス
【第2回】 2017年3月28日
著者・コラム紹介バックナンバー
previous page
3

CISOやセキュリティ部門の
あり方に関する考察

 前記で整理した類型・課題を踏まえて、CISO・セキュリティ部門のあり方について考察します。本稿におけるこれまでの検討から、CISO・セキュリティ部門には次のような要件が求められます。

・セキュリティ対策の網羅性・効率性を担保するため、IT・非IT双方に渡るセキュリテ対策を企画・推進及び評価・見直しできること(課題a、bに対応)
・セカンドライン及びその管掌役員として必要な客観性を維持できるよう、ファーストライン及びその管掌役員との職務分掌を定義すること(課題c、dに対応)

 これらの要件を満足するモデルとして挙げられるのが、図表4に示す④です。このモデルではIT・非ITセキュリティ双方のセカンドラインをセキュリティ部門が担当し、CISOがそれを管掌しています。これが理想的なモデルと考えられますが、組織によってはこのモデルは困難あるいは適さないかもしれません。例えば「ITセキュリティのセカンドラインを全うできる人員をセキュリティ部門で抱えることが困難」あるいは「既にIT部門内にITセキュリティ部署が設置されているため、大きな組織変更は避けたい」といった状況が考えられます。そのような場合は⑤が現実的な選択肢となります。これは図表3における②のケースを基に、セカンドラインの一部にCISO・セキュリティ部門が関与することで、セカンドラインとしての客観性を向上させるモデルです。

 ただ⑤は「表向きCISO・セキュリティ部門が関与することになっているが、実態としては何も行っていない」という状態、即ち②と同じとなってしまいかねません。そのような状態を避けるためにはCISO・セキュリティ部門の関与を実効性のあるものとするための仕組みが必要です。

例えば

・職務分掌の具体化、関与する契機の明確化
・専門性の強化

が挙げられます。1点目については、いつ・どのような形でセキュリティ部門・管掌役員がITセキュリティに関与するのかを具体化・明確化する必要があります。例えば中期/年次のセキュリティ計画を作成・見直し・進捗確認する際や、新規システムリリース時にセキュリティ要件確認やリリース承認する際の両部門・役員の連携方法、タイミング等です。

 2点目については、関与する内容や契機を明確にしたところで、ITセキュリティに関する専門性がなければ実効性をもった関与ができるはずもないため、専門性をもった人材の採用や、それが難しい場合は外部コンサルタントの活用を検討する必要があります。

まとめ

 これまで考察したとおり、CISOやセキュリティ部門はIT・非IT双方のセキュリティ対策に関するセカンドライン及びその管掌役員と位置づけることが有効です。先述のとおり、現状としては欧米企業においてもCIOの部下としてCISOが設置されているケースが多いものの、The Three Lines of Defense Modelに基づき、セカンドラインとしての位置付けが明確になるよう見直す動きがあります。

 組織の状況によってはITセキュリティのセカンドラインについてCIO、IT部門と共同で行うことも考えられますが、CISOやセキュリティ部門の関与を形骸化させないための仕組みが必要です。また、紙幅の関係もあり本稿では触れることができませんでしたが、これらファーストライン、セカンドラインの実効性に関する内部監査態勢を確立することも求められます。

previous page
3
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧