連載
» 2021年04月30日 05時00分 公開

あなたの会社に“仮想CISO”は必要かGartner Insights Pickup(205)

セキュリティリーダーの価値を認識してはいるものの、従来のCISOを置く余裕がない企業は、“仮想CISO”の採用を検討すべきだ。

[Robert Snow, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 調査データによると、CISO(最高情報セキュリティ責任者)の現在の年間報酬は20万8000〜33万7000ドルとなっている。これでは、中小企業は、CISOを置くことは予算的に難しいかもしれない。厳しい規制を受ける業種以外の企業では特にそうだ。

 だが、こうした企業も、セキュリティとリスク管理に戦略的に取り組むことがより重要になっていることや、これらのプログラムの策定と実行指導に責任を持つリーダーを置く必要性を認識している。

 「こうした企業にとっての朗報は、Gartnerが“仮想CISO”と呼んでいるサービスが増えていることだ」と、Gartnerのアナリストでバイス プレジデントを務めるジェフリー・ウィートマン(Jeffrey Wheatman)氏は語る。

 「リーダーシップを必要としているが、人件費が非常に高く適任のCISOを正社員として雇用するのが難しい企業にとっては、仮想CISOの利用が選択肢になるかもしれない。仮想CISOによって、スタッフオーグメンテーション(スタッフの拡張※)、コンサルタント、アドバイザー、ストラテジストを組み合わせたサービスが得られる」(ウィートマン氏)

※アウトソーシングサービスの一形態。利用企業は、アウトソーサーを通じてアウトソーシングスタッフに業務を委託し、業務上のやりとりや管理はこれらのスタッフ(オンサイトまたはリモートで業務に当たる)に対して直接行う。

 最も基本的なレベルでは、仮想CISOサービスは下記4つで構成されている。

1.従来型のスタッフの拡張

 アウトソーシングスタッフがオンサイトまたはリモートで、ミーティングやイベント、オペレーション、戦略立案に携わる。

2.コンサルティングおよび管理

 これらを通じ、セキュリティおよびリスク管理プログラムのアーティファクト(成果物)――例えば、戦略および戦術ロードマップ、アーキテクチャ、ポリシーなどの作成と実装を推進するとともに、リスク管理と評価をする。

3.プロジェクト管理

 セキュリティおよびリスクソリューションの設計と、展開するためのプロジェクトを管理する。

4.コーチングまたはアドバイザリーサービス

 作成された成果物の活用方法やコミュニケーション計画の策定に関する正社員スタッフのトレーニング、さらにセキュリティとリスク管理の次世代リーダーのトレーニングを目的とする。

 だが、近視眼的な合理化を理由にリーダーの不在を正当化しようとする企業もある。以下の、最もありがちな4つの主張をチェックすることで、中小企業も仮想CISOの採用を真剣に考えるべき理由がよく分かる。

「うちは規制されていないので、CISOは必要ない」

 確かにそうだが、セキュリティやリスク管理を忘れて安穏としていられるわけではない。規制を受けていない企業は、CISOを置く義務はないかもしれない。だからといって、ビジネス目標を達成する一環として、管理すべきリスクがないわけではない。プログラムリーダーを擁し、関連するガバナンスを確保し、戦略的ビジョンを持つことで防御力を高められる。

「うちは小さいので狙われない」

 そうかもしれないが、小さかったとしても周囲から隔絶された環境ではないだろう。「WannaCry」「Petya/NotPetya」などのさまざまなランサムウェア攻撃が急激に増加しており、どの企業も狙われない保証はない。また、デジタルビジネスエコシステムの相互接続が進むのに伴い、エンタープライズリスクが多様化し、増大している。あなたの会社が標的にならなくても、パートナーが標的になるかもしれない。

「うちは、誰もが欲しがるようなものは何も持っていない」

 本当にそうだろうか? この主張が正しいとすれば、それはあなたの会社には顧客がおらず、従業員もおらず、知的財産もビジネスプロセスもなく、株主やステークホルダーもいない場合だ。だが、それはビジネス自体がないということだろう。

「うちはCISOを雇う余裕がないので、セキュリティを担当するエンジニア(またはアーキテクト、管理者、システム管理者)を採用する」

 これではせいぜい一時しのぎにしかならないことに注意する必要がある。理屈の上では、この戦術的アプローチは短期的には有効かもしれない。だが、長期的なアプローチとしては、ツールと戦術に重きを置き過ぎており、戦略的な整合性の確保とプロセスの仕組み作りが不十分だ。

 エンジニア、アーキテクト、管理者は、技術的な成果を管理するための特定のスキルセットと責任を持っている。だが、実務においては、セキュリティおよびリスク管理プログラムの実行を指導し、時間をかけて、戦略的なアプローチへの移行を実現する専任職が必要になる。この戦略的アプローチは、適切なレベルのビジネスコンテキストでビジネスリーダーに説明できるものでなければならない。

 「仮想CISOは、戦術的な日々の業務から一歩引いた立場を取ることで役割を果たせる。そこからビジョンを示して指導し、一貫した体系的なアプローチを推進できる。これにより、プログラムのスコープが明確になる。この取り組みが、よりプロアクティブなセキュリティおよびリスク管理アプローチへの移行の出発点になる」(ウィートマン氏)

出典:Do You Need a Virtual CISO?(Smarter with Gartner)

筆者 Robert Snow

Writer


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。