野見山 雅史(のみやま・まさふみ)
デロイト トーマツ サイバーセキュリティ
先端研究所 主席研究員

大手システムインテグレータ、監査法人系コンサルティング会社を経て2002年に監査法人トーマツに入所。2010年7月よりデロイト トーマツ リスクサービス株式会社のパートナーに就任。中央省庁、金融、テクノロジー、コンシューマビジネス等の多様な業種・業界に対してITリスクに関するコンサルティング及び監査サービス(サイバーセキュリティ、プライバシ、IT資産管理、IT内部統制等)を多数提供

 本連載「サイバーセキュリティ 経営者の視点」の第1回で述べたとおり、サイバーセキュリティ対策には経営者の積極的関与が必要です。「サイバーセキュリティ経営ガイドライン」(Ver1.1 経済産業省・独立行政法人情報処理推進機構)においても経営者の関与の必要性が明記されており、「CISO(最高情報セキュリティ責任者:企業内で情報セキュリティを統括する担当役員)」を設置することが求められています。

 ただ実際にCISOを設置するとなると、多くの場合「CIOとの職務分掌」が議論となります。またCISOが率いる「セキュリティ部門」も設置する場合「IT部門との職務分掌」も同時に議論となります。この議論の結論が出ないままCISOを設置したために、CISOとしての役割が不明確なままCIOがCISOを兼務し、何も変わらない結果になってしまう場合も多くあります。そこで本稿ではCIO・IT部門との関係を含めCISO・セキュリティ部門の位置付け、役割について現状及びあり方を考察します。

考察する上での「軸」の整理

 考察を行うにあたり軸となる考え方を2つ整理しておきます。

 1つ目はサイバーセキュリティではIT面・非IT面双方での対策を考慮する必要があることです。非IT面の対策として、例えばサイバー攻撃の代表的な手法である「標的型攻撃」に対しては「不審なメールは開かない」「SNSで安易に勤務先等の個人情報を公開しない」といった教育啓発(人的対策)や、万が一攻撃を受けてしまった場合の危機管理体制・手順整備(組織的対策)等も必要とされます。このため「IT」「非IT」を1つ目の軸とします。

 2つ目は図表1に示す「The Three Lines of Defense Model」です。このモデルは第1回目でも触れられていますが、3つの防衛ラインでリスクを管理する、というものです。ファーストラインは最前線で業務を行う現業部門であり、担当業務に関するリスク管理を主体的に行うことで、最初の防衛ラインとなります。セカンドラインはファーストラインによるリスク管理を客観的・専門的立場から方向付け(規程整備等)、支援(教育等)及びモニタリングします。そしてサードラインはファーストライン及びセカンドラインによるリスク管理が適切に行われているかを独立した立場から監査・評価します。

 図表1を見るとセキュリティ部門がセカンドラインと整理されていることが分かります。ファーストラインには情報の取り扱いを行う業務部門、ITの開発・運用を行うIT部門が該当します。CIOやCISOは「経営陣」に該当し、自らが管掌する部門のリスク管理活動について方向付け、モニタリングを行います。サイバーセキュリティにおけるファーストライン(IT部門)とセカンドライン(セキュリティ部門)の具体的な役割分担(例・抜粋)を図表2(次のページ)に示します。このように当事者としてのリスク管理(ファーストライン)と、客観的・専門的立場からのリスク管理(セカンドライン)を分離することで、リスク管理の高度化が可能となります。