セキュリティリーダー、CISOに求められる役割とは

清水智
トレンドマイクロ株式会社
執行役員日本地域CISO

2002年にトレンドマイクロに入社。以降、製品の開発部門やセキュリティのコアテクノロジー部門で品質マネジメントや事業継続マネジメントの責任者を歴任。2012年に統合型リスクマネジメントの専門チームを社内に発足し、2020年10月にトレンドマイクロの日本地域CISOに就任。社外活動として、サイバー犯罪捜査・調査ナレッジフォーラム代表理事などを務めるほか、日本の組織や企業の経営・役員に向けた講習を通じセキュリティ啓発を行う。

清水智トレンドマイクロ株式会社
執行役員日本地域CISO

サイバーセキュリティを成す3層構造

─ ランサムウェア攻撃などにより、セキュリティリスクは事業継続リスクだという認識が浸透しつつあります。世界的には、ESG投資の観点でセキュリティを企業評価軸としてみる動きも広がっています。企業は、サイバーセキュリティ戦略をどう考えるべきでしょうか。

清水：まず、サイバーセキュリティはランサムウェア対策を講じることだけではありません。サイバーセキュリティは「戦略レベル」「戦術レベル」「現場（作戦）レベル」の三層から構成されます。ランサムウェアからどうシステムを守るかといった施策は、現場が主体となって考えるべきサイバーセキュリティ対策です。CISOが立案すべきは戦略レベルの対策です。戦略レベルで求められるのは、事業継続の担保や事業の成長への貢献といった経営の観点です。こうしたセキュリティのミッションは、事業戦略により異なります。

─ 戦略と作戦、戦術の関係性についてもう少し具体的に聞かせてください。

清水：例えば自社の経営戦略、あるいは事業戦略を実現するために、事業戦略を支える資産を特定し、それをどのように守っていくかを定めたものが戦略です。また作戦とは、戦略を遂行するうえで、どの領域において何を成すべきかの方向性を定めたものといえ、その作戦の下に具体的な戦術があるというイメージです。

─ 戦術レベルや現場レベルの施策を考えるのは誰の仕事になるのでしょうか。

清水：それはCISOが率いる現場のセキュリティチームの仕事です。その意味で、CISOは、自身で策定した戦略を現場のチームに伝え、具体的な施策へと落とし込んでもらい、遂行させる役割も担っています。言い換えれば、サイバーセキュリティ戦略を立案するのと併せて、戦略遂行を推進するのもCISOの仕事であるということです。ゆえにCISOは、サイバーセキュリティ戦略の成功指標が明確に見えていなければなりません。

CISOが担うべき役割とは

─ CISOという職位が日本企業に置かれるようになってから相当の年月が経過しています。ただ、日本企業の間にCISOが何を成すべき人かの共通の理解が確立しているとは言い難く、CISOの役割にもバラつきが見受けられます。CISOが本来担うべき役割とはどのようなものでしょうか？

清水：CISOの基本的な役割を一口に言えば、サイバーセキュリティ戦略を立案・推進し、戦略目標を達成することです。言葉にするとシンプルですが、留意すべきはサイバーセキュリティ戦略をどう解釈するかです。

実を言えば、サイバーセキュリティ戦略はそれ単体で存在しうるものではありません。上位の概念として「事業戦略」があり、「経営戦略」があります。その経営戦略と事業戦略に基づいてサイバーセキュリティのビジョン（あるべき姿）をどう実現するかを考え、戦略として立案することがCISOの役割です。

リスクのオーナーシップは事業責任者が持つ

─ お話しを聞いていると、CISOはビジネス戦略とサイバーセキュリティ戦略を結びつける“橋渡し役”であるとの印象も受けますが。

清水：そう、まさにその橋渡し役がCISOです。

─ とすると、事業部ごとにCISOが存在することもありえるのでしょうか。

清水：ありえます。複数の事業を多角的に展開している企業に複数のCISOがいても構いませんし、実際にそうしたケースはあるはずです。いずれにせよ、経営者や事業責任者に対して、ビジネス戦略を推進するうえでのサイバーセキュリティリスクと、リスク低減の戦略を明確に示すことが、CISOの仕事となります。

─ ならば、そのリスクを引き受けるのは誰になるのでしょうか。

清水：サイバーセキュリティリスクのオーナーシップは常に経営者側、あるいは事業部側にあるべきです。そもそもサイバーセキュリティ戦略は経営戦略や事業戦略の一部であり、サイバーセキュリティに関する戦略、戦術、施策の最終的な決定権限は、経営者や事業責任者にあります。CISOやセキュリティチームは、経営や各事業部が抱えているビジネスリスクを抑える専門家として、知見やソリューションを提供することで、事業目標の達成を支援することが求められているのです。

ですから近年、サプライチェーンのサイバーセキュリティリスクも高まっていますが、セキュリティの観点のみで、サプライチェーンを評価するのは適切な方法といえません。

サプライチェーンのあり方は、プロダクトの価格、安定供給、サプライチェーンのサービス品質、コスト、サイバーセキュリティリスクといった要素の兼ね合い（トレードオフ）によって決定されるものです。そこからサイバーセキュリティリスクだけを抜き出して、セキュリティチームがリスク低減の方法を決めるようなことは、あるべき姿ではないと考えます。

CISO不在が引き起こす問題

─ 次に、CISOがなぜ必要であり重要なのかについてお聞きしたいと考えます。

清水：まず言えるのは、先に触れたCISOの役割を担う人が不在であると、経営・事業戦略とサイバーセキュリティ対策との間にコンフリクトや矛盾が生じやすくなることです。

─ それはどういうことでしょうか。

清水：例えば、日本企業におけるサイバーセキュリティ対策は、端末へのマルウェア対策ソフトの導入に端を発し、以降、サイバー攻撃の変化・進化に追随するかたちで対策を積み上げてきました。いわばそれは、防御策の積み上げであり、経営・事業戦略と連動したものではなかったといえます。それゆえに、ときには経営戦略上、あるいは事業上の必要性からではなく「周囲がこのソリューションを導入しているから」といった理由によってセキュリティ製品を導入してしまうようなことが行われてきたわけです。

─ そのために、経営や事業戦略から逸脱した過剰なセキュリティ投資、または過小な投資が発生するわけですね。

清水：そういえます。CISOは、そうしたセキュリティ投資をあるべき方向へと導く存在でもあるべきです。経営・事業戦略を度外視してサイバーセキュリティ対策を打ち続けるようでは、経営や事業部とのコンフリクトが発生するのが当たり前です。サイバーセキュリティ投資は本来、「自分たちの事業を守る」という意識のもとで行われるべきものです。それによって初めてサイバーセキュリティ対策におけるプロセスやルールが有効なものとなり、経営や事業部の納得感が得られるのです。

当時は、CISOという肩書ではなかったのですが近しい職務を担当していた私自身の経験上、発売前のセキュリティ製品の一部の機能がある状況下で効果を発揮しない恐れがあったケースでは、その部分の改修を発売前に行うために、発売を延期するという判断をしたことがありました。当然、セキュリティ製品の売り上げは我々のビジネスの主たる収入源であり、発売の延期は収益に影響します。当然事業部門側の意見もありましたので、私は、当時の営業や技術部門の責任者と丁寧に話し合い、「我々が守るべきは顧客の環境であり、それが実現できない可能性は極力排除すべきである」という方向に一致させました。

─ 逆に、サイバーセキュリティ対策に「自分たちの事業を守る」という意識が欠けているとどうなるのでしょうか。

清水：例えば、ビジネスの価値の大きさから逸脱した過剰投資や過少投資が行われるリスクが膨らみます。そのような事態に陥るのを避けるためにも、CISOがしっかりと機能することが重要です。

単なるルール、対策だけでは、事業は守れません。マルウェアの侵入をゼロにするのではなく、事業継続性、レジリエンスの観点で、事業部門とセキュリティ部門が連携していくことが重要です。

─ 適切なセキュリティ投資を講じるために有効な考え方にはどのようなものがあるのでしょうか。

色々なフレームワークがありますが、コスト（リソースやリスク）とベネフィット（効果や便益）の分析比較から事業やプロジェクト推進を評価するCBA（Cost Benefit Analysis：費用便益分析）は、事業部門とセキュリティ部門が共通の定義と理解のもとで、セキュリティ方針と投資を決めていくうえで、有効な方法になるでしょう。

─ 対策ありきのチェックリスト方式では、本質的に有効なサイバーセキュリティはできないということですね。

清水：これは余談になりますが、日本では「マネジメント」を「管理」と呼ぶことが多くありますが、英語の「マネジメント」と日本語の「管理」とでは意味合いが異なります。マネジメント（ないしは、マネージ）は物事がうまく回るように調整することを指し、日本語の「管理」は統制に近い言葉です。その辺りの違いを意識せず、サイバーセキュリティの“管理”、またはリスクの“管理”を行おうとすると、事業の成功よりも、統制をとることのほうを優先しがちになります。

結果として過剰な統制、ないしは事業の成功とは無関係な統制をビジネスの現場や顧客・取引先にかけてしまい、それが事業を前に進めるうえでの足かせになってしまうことがあります。CISOは、その点にも注意を払う必要があるでしょう。

CISOに求められる資質とは

─ ここまでお聞かせいただいた内容を踏まえたうえで、CISOに求められる資質についてお伺いしたいと思います。良く聞かれる話として、「経営陣のセキュリティ理解が低い」といった声があります。リーダーとして組織の理解を得て、あるべき投資、対策を進めるためにはどのような資質が必要なのでしょうか。

清水：経営の理解が低いのではなく、CISO自身が経営の観点でセキュリティを報告できているか、まず考えることが必要です。マルウェア感染リスクではなく、マルウェア感染によってどのようなビジネスリスクが生じるのかを提示できているかです。

そのため、重要な資質の第一は、自社の事業に対する深い理解です。それがなければ、事業の成功に資するサイバーセキュリティ戦略を立案することはできません。また、その戦略の遂行がなぜ事業の成功に必要なのかを各事業責任者に説き腹落ちさせる、セキュリティの方針を組織内に浸透させることもできないはずです。

─ 事業理解にくわえ、社内のステークホルダーと交渉し合意を引き出す、高いソフトスキルが求められますね。

清水：その通りです。つまりそれはリーダーシップであり、CISOには強いリーダーシップが必要です。また、政治力や物事の動向を自分が必要なレベルでキャッチできる力、さらには、物事を階層的にとらえて整理し、分類できる能力なども、CISOには必要とされます。少なくとも、サイバーセキュリティ対策を戦略、戦術、現場の各レベルに分類できなければ、CISOの役割は務まりませんから。

─ サイバーセキュリティに関する知識も必要ではないのですか。

清水：必要ですが、サイバーセキュリティの技術や技術トレンドに関する深い知識はセキュリティチームが持っていればそれで良く、CISOにはそれほど求められません。しかも、セキュリティの取り組みは広範にわたり、システム的なソリューションを導入し運用することだけが対策ではなく、人に対するセキュリティ教育・啓発などもセキュリティ対策には含まれます。その意味では、サイバーセキュリティの技術を学ぶことよりも、戦略マネジメントの手法を学んだほうが良いといえます。

CISOに求められる能力の例
・物事の動向をキャッチする能力
・物事を整理・分析し、解釈する能力
・強いリーダーシップ

出典：JNSA CISOガイドブック CSIOに求める知識領域

─最後の質問です。CISOとして活躍するうえでは、IT分野での経験を積んだのちに経営や事業について学んだほうが良いのでしょうか。それとも、事業分野でのビジネス経験を積んだのちにサイバーセキュリティについて学んだほうが早いのでしょうか。

清水：人によって異なるでしょうが、IT領域での経験しかない人がCISOの役割を担うハードルはかなり高いように思えます。要するに、事業推進の経験を積み、そのビジネスを成功させるうえで何が必要かを熟知している人のほうが、ITの専門家よりもCISOとして活用できる可能性が高いということです。とはいえ、IT分野での経験はCISOにとって決して無駄ではなく、IT担当者が経営と事業について学び、CISOとして活躍できる可能性もあると見ています。

CISOとしての情報収集方法について
戦略に必要な情報は、海外や日本における政治情勢、産業動向、業界動向、政治や政府動向、政策検討の内容、法改正（内外）など多岐にわたります。このため、情報収集のチャネルを広く持つことが大切です。私の場合、メンバーがセキュリティのリサーチャーですので、情報は入り易くかつリサーチャーたちがキュレーションまでしてくれるので助かっています。CISOは、優秀なスタッフを持つことも大事です（清水）。

CISOに関連する書籍・記事
・CISOハンドブック（JNSA）――業務執行のための情報セキュリティ実践ガイド
・CISO Desk Reference Guide（Bill Bonney）：A Practical Guide for CISOs
・Gartner：最高情報セキュリティ責任者（CISO）就任後100日間のロードマップ（2021/11/1）