CSIコンファレンス参加中
昨日のKeynoteのひとつに、現役CISOのパネルディスカッションがあった。米国では企業改革法(SOX法)のからみで、企業の情報セキュリティの確保がひとつの経営課題となりつつあるが、そうした中でますます高まっていくCISOの責任と仕事をどう考えるか、というのがテーマ。有力企業、政府機関などでCISOの立場にある5名が、それぞれの考えるCISO像を語っていたのだが、内容は大変示唆に富むものだった。ひとつ言えるのは彼らが自分の役割をきちんと意識して、何をどうすべきかという点に明確な考えを持っている点。とりわけ、経営陣の中での位置づけ、CEOとの考え方の違いや、セキュリティに関する現業部門との関係などをきちんと整理している点が印象的だった。技術的な面でも、最低限CISSPなどの資格を持てる程度の知識、経験をこの全員が持っている点も印象的。考えてみれば、セキュリティがコンプライアンスという側面を持ち始めることで、インシデントの発生で経営陣のクビがかかる、ということも十分想定できるのだから、その矢面に立たされかねないCISOはかなり覚悟が必要だし、きちんと自分の仕事が評価される環境を作ることが必須なのだろうと思う。日本を振り返れば、「なんちゃってCISO」も多い現状。個人情報保護法をかわきりに、日本版SOX導入も視野に入る中、セキュリティのコンプライアンス化は着々と進んでいる。Chief Security Officer 転じて Chief Scapegoat Officer になるCISOが大勢でないことを祈りたい。
コメントする