CISO(Chief Information Security Officer)
シーアイエスオー
CISOとは
CISO(Chief Information Security Officer)とは、情報セキュリティを統括する立場にある、最高情報セキュリティ責任者を指します。主な役割はセキュリティ対策やリスク管理、セキュリティガバナンスの構築と運営です。平常時には情報漏洩防止策の立案・実行管理やシステムの保護、セキュリティインシデント発生時には対応チームへの指示や経営層・関係各所への報告と対応にあたります。現場の情報セキュリティ部門と経営層をつなぐ架け橋のような立ち位置です。セキュリティインシデントに素早く対応するため、CISOには経営層としての決断力や考え方と、技術者としての知見が要求されます。
CISOの業務内容
CISOは情報セキュリティポリシー・ITコンプライアンス・社内ITシステムに関わる、セキュリティ施策の策定を主導します。また、自社のITシステムと業務内容との関連性を調査し、より適切なセキュリティシステムに投資・運用ができるよう進めます。
情報セキュリティ部門は直接的な営業利益を生み出す部門ではないため必要性が解りづらく、経営層においてはITリテラシーが高くない場合があります。こうした場合にセキュリティシステムへの理解や必要性を、経営層へ伝えることもCISOの重要な役割業務です。
他には顧問弁護士や関係団体などの外部関係者との連携に加え、インシデント対応チームCSIRTの監督など多岐にわたる業務を行います。
CISOの関連語
- CIO(Chief Information Officer)
CIO(Chief Information Officer)とは、「情報セキュリティ」も含めた「情報システム」分野全体を統括する最高情報責任者のことです。CISOが情報セキュリティの対策や管理をし、CIOは社内システムの企画や導入、構築、運用などシステム全般の管理をします。
- CSIRT(Computer Security Incident Response Team)
CSIRT(Computer Security Incident Response Team)とは、特にインシデントにおけるセキュリティ対応を専門とする組織です。CISOがインシデント対応の統括・監督し、CSIRTはCISOの指揮に従って動きます。非常時はCISOが策定した事件や事故の対応手順を元にCSIRTは対応し、平時はCISOが策定したセキュリティ計画の補佐を従業員教育や注意喚起などでCSIRTは行います。以上CISOとCSIRTは野球の監督と選手の関係性のようなイメージです。CSIRTについてはこちらもご覧ください。
