現在リミニストリートのCTOオフィスでセキュリティ担当ディレクター兼プリンシパルアドバイザーを務めているJim Hillierは、長年に渡り多くの組織でCISO(最高情報セキュリティ責任者)を務めてきました。CISOは IoT(モノのインターネット)の発展とともに年々変化してきた仕事であり、ほんの数十年前と今では全く異なる姿を見せています。
Jimは次のように語りました。「今の時代CISOの役割を担うのは大変です。温度自動調節器からお菓子の自動販売機まで、あらゆるものにクレジットカードが使われ、あらゆるものがネットワークに接続されており、昔と比べてネットワークの安全を脅かす脅威となる要素が圧倒的に増えました。」
しかしCISOは、大きな達成感を得られる仕事でもあります。興味深い問題解決や、他のプロフェッショナルチームと協力して最高水準のセキュリティに取り組むこと、業務がバラエティに富んでいることも魅力です。「毎日違うことが起きます。」とJim Hillierは言います。
CISOの三大業務
Jim Hillierは、CISOの役割を「データ保護」「インシデント・レスポンス」「コンプライアンス維持」の三大要素で構成されると考えています。
データ保護
CISOは、従業員や業務の指針となるセキュリティ基準やポリシーを作成し、適切なトレーニングが企業全体に組み込まれるようにする責任があります。また、リスクを評価し、データ保護に関連するパートナーや製品を評価することも必要です。
例えば、CISOは「ピンテスト」と呼ばれるテストを実施し、システムにパッチが必要な欠点があるかどうかを評価します。重要なのは、システムの最も脆弱な要素に対処した上で、企業の取締役会と協力して、残存するリスクを許容できるか判断することです。CISOは、取締役会が十分な情報を得た上で意思決定できるように、各脆弱性のリスクレベルと改善するために必要なコストを見積もらなければなりません。
「一度に全てを解決することは出来ません、コストがかかりすぎます。CISOとして、ベンダー、サードパーティー、社内の専門家と協力して、多くの分析作業を行わなければなりません。全員と少しずつ一緒に仕事をするのです。」とJim Hillierは言います。
インシデント・レスポンス
CISOは、インシデント・レスポンス計画を作成し、評価する責任があります。そのためにはITチームだけでなく、組織内すべての人間を巻き込まなければなりません。データ侵害は、財務やデータに影響を与えるため、CFOとCIOが重要な役割を果たします。また、保険に関わるリスクオフィサーも計画に参加することが考えられます。ほかの従業員も、弁護士、国家レベルの対応、データ侵害がもたらす人道的影響に対応することになります。
「全員のために包括的な戦略を持ちつつ、取締役会に必要な情報を報告したうえで取締役会のリスク選好度を評価する必要があります。ランサムウェアに攻撃された後で、身代金を払うべきかどうかを決めるのは遅すぎます。」
コンプライアンス維持
CISOには、ITセキュリティに関連する政府やその他の規制、契約条項の遵守を確保する責任もあります。例えばCISOには、デジタル取引におけるデータ保護に適用されるPCIセキュリティ標準協議会の基準を会社が満たしているかを確認する責任があります。このような要件や他の要件に違反してしまうと、会社の信頼を損なうのはもちろん、罰金や法的措置の対象となりえます。CISOの役割は、コンプライアンス違反に伴うリスクから会社を確実に保護するために不可欠です。
チームワークの大切さ
Jim Hillierは、コンピューターの技術的なトレーニングのほとんどを軍隊で受けました。海兵隊で汎用コンピューター技術者として勤務し、メインフレームからマイクロチップまで、あらゆるものの修理方法を学びました。その後、教師としてのキャリアを経て、軍での実践的な経験を活かしてITの世界に入り、CTO、CIO、CISOを勤め、その過程で、航空学の準学士号、電子工学の学士号、電子工学を中心とした情報システムの修士号を取得しました。
しかしJim Hillierは、これらの学位や実践的なトレーニングが不可欠であるのと同様に、効果的なITセキュリティ対応においてチームワークの重要性を強く認識するようになりました。
「おそらく私が学んだ最大の事は、チームを作り、チームとして働き、そしてチームを教育し続けることです。セキュリティ・インシデントが発生した場合、時間がとても重要なので、効果的にコミュニケーションを取る必要があります。」
数年前Jim Hillierが、とある教育機関で働いていたとき、その教育機関のシステムがランサムウェアによる攻撃を受けました。彼のチームは、7,000台のコンピューターのうち26台の感染だけで被害を食い止めました。一方、同じランサムウェアが2カ月後に地方自治体のシステムを攻撃した際には、同様のインシデント・レスポンスチームがいなかったので、なにも抵抗出来ずに感染が拡大しました。「彼らはすべてを失い、全国的なニュースになりました。」とJim Hillierは振り返っています。
Jim Hillierのチームにとって、この成功は、自分たちが実践してきたアプローチを、みんなで完璧にやり遂げたことにつきます。
「チームとして動いたこと、コミュニケーションが出来たこと、そして練習の賜物です。私たちはそれらのスキルを磨き、それが実を結びました。」