PR
現況:CEOは情報セキュリティをどう見ているか―CISO-CEO間の隔たりを埋めるために Part3
情報セキュリティ担当役員がCEO(最高経営責任者)に「情報セキュリティは戦略的なものだ」と納得させるためにまず始めるべきことは、現在のCEOのポジションを確認することだ。CEOのセキュリティに対する見方は、業界や法規制、知的財産に応じて異なる。自社が情報を保護する必要があるのは、自社を取り巻く市場や法律、競争環境面での課題があるからだ。第三者との関係や企業規模にもよる。つまり、自社が誰とどれだけの量の情報を交わしているかによって、セキュリティに関する見方が異なるということだ。
CEOたちは以前に比べ、情報セキュリティを重視するようになった。理由は単純で、今日は企業運営においてITへの依存度が極めて高くなっているからだ。日常業務や生活にインターネットやモバイル通信が浸透してきた現在、セキュリティ事故やIDの盗難を直接的または間接的に経験したCEOも少なくないはず。一方、政府や業界団体は、データ保護を義務付けるなどして規制を強化している。メディア、とりわけ業界紙が大規模なデータ違反を大きく取り上げるようになり、CEOのセキュリティに対する意識も高まってきた。今や、情報セキュリティはCEOが検討すべき事項であることは明確である。
今日では、情報セキュリティ戦略の重要性をほとんどのCEOが認識している。セキュリティ調査会社である米Ponemon InstituteがCEOを対象に実施した最近の調査「Business Case for Data Protection」では、回答者の87%が「組織のデータ保護戦略を策定すること」が重要、または非常に重要と答えている。一方で調査対象のCEOの77%が、ノートPCの紛失/盗難やストレージ・メディアの不適切な処分がデータ流出の最大のリスクとみなしている。米SANS Instituteが先頃発表したサイバー・セキュリティのリスクに関するレポート「Top Cyber Security Risks September 2009」では、Webアプリケーションに対する攻撃や、ターゲットを絞ったフィッシング攻撃こそが最大のダメージをもたらす可能性があると結論づけている。
CEOたちは単に情報セキュリティに関するリスクについて誤解しているだけでなく、ほかのエグゼクティブたちに比べてリスクを過小評価する傾向がある。たとえば「Business Case for Data Protection」の調査対象となったCEOの過半数(68%)は、ハッカーが企業データにアクセスを試みるのはまれで、せいぜい週に1回程度だと考えている。一方で他のエグゼクティブの53%は、会社のデータは毎日あるいは毎時間ごとに攻撃を受けていると考えている。
もちろん、CEOに情報セキュリティの専門家になることを期待することはできない。セキュリティ担当役員がいるのはそのためだ。CEOがリスクに関して現実的な理解を得られるかどうかは、情報セキュリティ担当役員の責任である。だがサポートを情報セキュリティ部門に提供する権限を持っているのはCEOである。CEOはそれを行使しなければならない。
では現在、CEOたちが実施しているサポートはどの程度のものなのだろうか。実はよい兆しがある。情報リスク管理などを体系化した企業リスク・プログラムを設け、情報セキュリティ・ガバナンスに取り組み始める企業が増えているのだ。米Price Waterhouse Coopersが実施した最近の調査である「Global State of Information Security 2010」では、調査対象企業の35%が企業リスク・アセスメントを年2回実施し、33%がリスク・レベルに基づいた情報資産の優先度設定を継続的に実施していることが明らかになった。また多くの業界では、取締役会レベルおよび全社規模で、全体的なリスク管理業務に情報リスクを組み入れた企業リスク協議会を設立するようになってきた。
もう1つの肯定的な兆候は、CEOやその他の最高経営幹部、取締役会向けの情報セキュリティ・レポートの発行頻度が増えてきていることだ。情報セキュリティを継続的にビジネス・レポートに組み込むことで、ビジネス戦略とのつながりが強化され、資金調達を適切なレベルで実行する可能性が高くなる。米Deloitte Touche Tohmatsuの「Global Security Survey 2009」によると、最先端を行く金融分野では、ほぼ半分の企業が既にCEOに対して情報セキュリティに関するレポートを定期的に提出している。その頻度は毎月または毎四半期(39%)、あるいは年1回または2回(10%)となっている。
CEOたちの情報セキュリティ問題に対する認識が高くなっていることは明らかだ。企業内のサポート構造の確立も始まっている。だが実際のリスクを理解してもらうべくCEOを教育し、情報セキュリティを戦略的なビジネス業務として位置付ける役割を担うのは、他ならぬ情報セキュリティ担当役員であることは言うまでもない。
- Security for Business Innovation Council
- EMCのセキュリティ部門であるRSAセキュリティの主催による業界イニシアチブ
| 執筆 | 特別ゲスト寄稿者 |
|---|---|
| JP Morgan Chase社、Chief Information Risk Officer、Anish Bhimani氏 EMC社、Vice President兼Chief Security Officer、Roland Cloutier氏 eBay社、Vice President兼Chief Information Security Officer、Dave Cullinane氏 CSO Confidential社、創設者兼Director、BP社前Chief Information Security Officer、Paul Dorey教授 Time Warner社、Vice President兼Information Security and Privacy Officer、Renee Guttmann氏 Genzyme社、Global Risk and Business Resources担当Vice President、David Kent氏 Diageo社、Chief Information Security Officer、Claudia Natanson博士 HDFC銀行、Chief Information Security Officer、Vishal Salvi氏 CIGNA社、Chief Information Security Officer、Craig Shumard氏 FedEx社、Chief Information Security Officer、Denise Wood氏 |
First Data社、Chief Executive Officer、Michael Capellas氏 |
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
