CISOが直面するセキュリティの課題と解決策 - 経営層・戦略マネジメント層が学ぶべき必須知識

サイバー攻撃は企業の存続を脅かすリスクであり、経営層にとっても深刻な問題です。過去の事例を見ても、セキュリティ対策の不備が株価の暴落や業務停止、経営責任の追及といった事態を招いています。 こうしたリスクに対応するため、多くの企業がCISO（Chief Information Security Officer：最高情報セキュリティ責任者）を設置しています。しかし、CISOの役割が不明確だったり、他の業務と兼任して十分な対策が取れなかったりするケースも少なくありません。
GSXでは、CISOの役割を強化し、実務で活かせるスキルを習得できるよう、専門講座を開発しました。本記事では、CISOの必要性と、講座で学べる実践的な内容をご紹介します。

1.CISOが直面するセキュリティの現状と課題

現在、社会的な要請などから日本企業でもCISOを設置している企業が増えきているものの、その多くは他の業務と兼任し、セキュリティの専門人材が十分に配置されていません。これは、経営層がCISOの役割や重要性を十分に認識していないことに加え、サイバーセキュリティへの投資が後回しにされがちなことが主な要因とされています。結果として、企業のセキュリティ対策は後手に回り、サイバー攻撃のリスクが高まる状況が続いています。ここでは、こうしたサイバーセキュリティ経営の課題について解説します。

1-1.CISOの専任配置が少なく、90%以上が兼任

企業のセキュリティ対策おいて、CISOは非常に重要な機能を担っています。ところが、IPAの調査によるとCISOを任命していたとしても90％以上の企業でCISOが他の業務と兼任しているという実態があります。※1 ※1：IPA 独立行政法人 情報処理推進機構「企業のCISO等やセキュリティ対策推進に関する実態調査」

兼任のCISOを任命している背景には、経営層のサイバーセキュリティに対する理解不足、人材不足、コストといった問題があります。特に大企業以外では「専任のCISOを配置することが難しい」というケースが多いようです。しかし、CISOが兼任では、セキュリティ業務に十分なリソースが当てられず、そのためセキュリティ対策の予算を確保できず、効果的なセキュリティ対策が実施できないおそれがあります。それだけでなく、実際にインシデントが発生した際に対応に遅れが生じるかもしれません。つまり、CISOを任命しただけで、CISOが有効に機能していないのです。
これはCISOが兼任であることが問題というわけではなく、兼任であるがために前述のような状況が発生しやすいということになります。

だからこそ、CISOはセキュリティに関する専門知識を深め、戦略的にリスク管理を進める必要があります。専任のCISOを任命する余裕がない企業ほど、CISOが積極的にセキュリティ戦略を推進して、リスクを最小限に抑える必要があるのです。

1-2.よくある誤解

冒頭でも述べたように経営層がCISOの重要性を正しく認識していない背景には、実情を正しく把握できておらず以下のような誤解をしていることが多く見られます。

1-2-1　よくある誤解①：自社はサイバー攻撃を受けない

「当社は中小企業だから」「知名度が低いから」といった理由で、サイバー攻撃の標的にはならないと考えている企業は多いのではないでしょうか。そのため、リスクを過小評価し、対策を後回しにしているケースが少なくありません。しかし、実際には企業の規模や業種に関係なく、あらゆる企業が攻撃の対象になっています。

特に近年は、大企業のセキュリティ対策が強化される一方で、取引先企業の脆弱性を狙うサプライチェーン攻撃が増えています。取引先がサイバー攻撃を受けると、その影響がサプライチェーン全体に及び、関連企業のネットワークにも侵入され、情報漏えいなどの被害が発生する可能性があります。

攻撃者の狙いは金銭だけでなく、顧客情報や知的財産などの機密情報、業界全体の動向把握など多岐にわたります。つまり、中小企業であっても、サイバー攻撃のリスクを避けることはできません。規模の大小や知名度の有無に関係なく、常にサイバー攻撃の標的とされることを前提に、企業は適切なセキュリティ対策に取り組む必要があります。

1-2-2　よくある誤解②：サイバー攻撃を受けてから対応すればよい

適切なセキュリティ対策を講じず、サイバー攻撃を受けてから対応しようと考える企業もあります。実際、被害を受けるまでサイバー攻撃を受けることを想定した具体的な対応策を講じていないことが多いと思われます。しかし、この対応は大きなリスクを伴い、経営への影響を考えれば避けるべきです。

インシデント発生後に対応を始めると、後手に回ることで時間やコストがかさみ、結果として企業の信用が大きく損なわれる可能性があります。特にランサムウェア攻撃では、復旧に数週間を要したり、全てのシステムが復旧できないこともあり、その間に信頼失墜による顧客離れや事業停止の危機に直面するおそれがあります。

こうした被害を最小限に抑えるため、企業は事前の備えが不可欠です。サイバー攻撃を未然に防ぐ対策はもちろん、インシデント発生時に迅速かつ適切な対応ができるよう、あらかじめ計画を立てることが求められます。対応計画を整えておくことで、緊急時にも冷静に行動し、被害の拡大を防ぐことができます。

2.CISO・経営陣が押さえるべきセキュリティ戦略

CISOには、経営の視点からセキュリティ戦略やIT管理を推進する役割が求められます。最新のサイバーセキュリティ動向を把握し、他の経営層と連携しながらインシデント対応やサプライチェーンリスク管理を進めることが重要です。また、組織全体のセキュリティ意識を高めることもCISOの責務の一つです。ここでは、CISOをはじめとする経営層が押さえておくべきサイバーセキュリティのポイントについて解説します。

2-1.脅威動向を知り、経営視点でサイバーセキュリティを考える

サイバー攻撃は高度化しており、企業規模や業種を問わず、あらゆる企業が標的になっています。特にランサムウェア攻撃やサプライチェーン攻撃が増加し、従来のセキュリティ対策だけでは十分に防ぎきれないのが現状です。サイバー攻撃によって業務が停止し、経営危機に陥るケースも多いため、CISOは最新の脅威を理解し、経営視点でセキュリティ戦略を策定する必要があります。セキュリティへの取り組みは、経営層としての責務であり、組織全体のリスクを管理するうえで欠かせません。

また、CISOには「重要インフラのサイバーセキュリティに係る行動計画」「サイバーセキュリティ経営ガイドライン」「NIST CSF 2.0」などの指針を理解し、それらをもとにリスク管理体制を強化することが求められています。サイバー攻撃を未然に防ぐための対策はもちろん、インシデント発生時に迅速かつ適切な対応ができるよう、事前に計画を策定しておくことが重要です。こうした環境を整えることで、インシデント発生時にも経営層が迅速に意思決定を行い、被害の最小化を図ることができます。

2-2.リスクマネジメントとは「脅威の可能性を低減」すること

サイバーリスクを完全に排除することはできませんが、適切なリスクマネジメントを実施することで、リスクの発生確率を下げたり、リスクが及ぼす被害を最小限に抑えることは可能です。CISOには、様々なリスクを正しく認識し、その重要度に応じた適切な対策を講じる役割が求められます。

リスクマネジメントの基本は、リスクの識別、評価、対応の3つです。リスクを正確に把握し、その影響を分析することで、事業に適したセキュリティ対策を講じることができます。これにより、自社が許容できる範囲までリスクを低減し、経営視点でのセキュリティ戦略を推進できます。例えば、発生頻度は低いものの事業に深刻な影響を及ぼすリスクについては、サイバー保険を活用することで財務的な負担を軽減するなどの対策も有効です。

さらに、攻撃の影響を受けにくい環境を整えるためには、多層防御や最小権限の原則、職責分離といったセキュリティ設計の原則を適用することが重要です。こうした対策を講じることで、攻撃を受けにくく、より強固な耐性を持つ組織を構築できます。

2-3.インシデントの被害を極小化するために、何をするべきか

どれほどセキュリティ対策を講じても、サイバー攻撃を完全に防ぐことはできません。重要なのは、インシデントによる被害を可能な限り抑え、事業への影響を最小限にとどめることです。そのため、CISOは平時からインシデント対応の手順を把握し、迅速に対処できる体制を整えておく必要があります。

インシデント対応のガイドラインは、米国国立標準技術研究所が定めた「NIST SP800-61」にまとめられています。この指針では、インシデント対応ポリシーの策定や対応チームの編成など、サイバー攻撃に備えた事前準備の重要性が示されています。また、攻撃を早期に発見するためのモニタリング、封じ込め、根絶、復旧といった対応が求められ、対処すべき範囲は多岐にわたります。さらに、広報対応を含めた適切な情報発信も欠かせません。

CISOの重要な役割としてサイバーセキュリティ対策を考慮した、事業継続計画（BCP）や災害復旧計画（DRP）を策定し、それを確実に実行できる体制の構築があります。そのために、経営層はインシデント対応を担う組織の構築やチームの役割分担を明確にし、責任を持って取り組む必要があります。

2-4.サプライチェーンも含め、組織体制を強化するには

近年のサイバー攻撃では、企業単体ではなく、サプライチェーン全体を標的とするケースが増えています。サプライチェーンを構成する企業（サプライヤー）のセキュリティ対策レベルにはばらつきがあり、対策が不十分な企業が狙われやすいのが現状です。1社だけで対策を講じても、リスクを十分に低減することは難しく、サプライチェーン全体でのセキュリティ強化が求められます。

そのため、サプライヤーのリスク管理が不可欠です。企業間の連携がクラウドサービスや外部システムを通じて進んでいることから、契約時にはセキュリティ要件を明確にし、適切な監査を実施する必要があります。また、サプライヤーのセキュリティ対策を支援する取り組みも増えています。

さらに、組織全体のセキュリティを強化するには、セキュリティ人材の確保と育成が欠かせません。必要とされる人材の目安として、1万人規模の企業であれば50人、100人規模なら2人程度が必要とされています。外部からの採用だけでなく、社内での育成も重要であり、そのためには必要なスキルセットとそのレベルを明確にし、効果的な育成方法を検討することが求められます。

3.CISOのための短時間で学べるセキュリティ講座

GSXではCISOとCISOを支える人材、またITセキュリティを主管する従業員へ向けた、短時間でセキュリティ実務に必要な知識と対応力を習得できる講座を新たに開講しました。講座の内容について紹介します。

3-1.講座の概要

CISO講座はCISOやCISOを支える人材に向けて、セキュリティの実務に必要な知識や取り組みを習得できる専門プログラムです。また、CISOや経営層に向けた提案を行う営業人材も、経営層が考えていることを学べるため、より適切な提案ができるようになります。

この講座ではサイバーセキュリティの動向や管理体制の構築といった、幅広い分野を効果的に学習できます。セキュリティ知識に自信がない人でも理解でき、自社にどういった取り組みが必要なのか、具体的な対策を検討する基盤を築けます。

忙しくて受講する時間を確保できないという、経営層の事情にあわせて約3時間のオンデマンド講座となっています。時間は短いもののカリキュラムの内容は厳選されているため、効率よく必須の知識を習得できます。この講座を受講することで、必要最低限のセキュリティ関する重要な用語や概念が身につくため、社内外のセキュリティ人材との意思疎通に役立つでしょう。

3-2.講座の特徴

CISO講座で提供するカリキュラムは、セキュリティの実務に必要な最低限の知識を提供する内容となっています。最新のサイバーセキュリティ動向や、経営視点でのサイバーセキュリティ、リスクマネジメントなど、CISOが経営層として理解しておくべきポイントが20～40分程度に分けられており、効率よく学んでいくことが可能です。

講師として解説するのは、IT企業の現役CISOの淵上真一氏です。日本でもトップクラスのCISOである淵上氏が、これまでに得た経験や事例を交えて理解しておくべき要点を整理して講義を行います。この講義ではCISOとして備えるべき考え方や具体的な実務を学べるため、経営層でITセキュリティを分担して受け持つ人にも役立つでしょう。

CISO講座は資格化を予定しており、資格試験を受けることで学習内容の理解度を確認できる仕組みになっています。

4.受講者の声と実際の効果

CISO講座を受講した経営層からは、高い評価をいただいています。特に1章の「サイバーセキュリティの動向」や2章「経営視点でのサイバーセキュリティ」の内容は「CISO担当者だけでなく、経営層全体で意識しておくべき内容だ」という声も寄せられています。この講座によってセキュリティリスクとCISOの役割が理解できるため、セキュリティ対策の必要性が経営層に伝わり、予算確保の後押しにもつながります。

そのほかにも、受講した人からは「経営視点のサイバーセキュリティについて、理解が足りていなかった」という声も上がりました。兼任する形でCISOを務めている人にとっては、経営層としてのセキュリティについて学ぶ貴重な機会となっています。

まとめ：CISOが今すぐ取り組むべきこと

サイバー攻撃は企業の存続を脅かす深刻なリスクであり、サイバーセキュリティは経営において避けて通れない課題です。適切な対策を講じることで、被害を最小限に抑えることができます。

そのためには、CISOが主導してセキュリティ体制を強化し、戦略的に取り組むことが不可欠です。本講座は、CISOや経営層だけでなく、セキュリティ担当者に提案を行う営業担当者にも役立つ内容となっています。セキュリティの専門知識を身につけることで、顧客のCISOやセキュリティ担当者と対等な視点で話ができ、より効果的な提案が可能になります。

GSXでは、本講座の資格化していく予定で、さらに受講者同士が交流できる場の提供も検討しています。ビジネスに不可欠な知識の習得や継続的な運用改善にもつながる内容となっていますので、ぜひ受講をご検討ください。