リスクマネジメントは、企業経営において想定されるリスクを管理し、損失を回避もしくは低減させる取り組みを指します。
つまり、CISOに求められるリスクマネジメントは何かあってから犯人探しを行い、末端の社員または委託先を罰する事ではありません。却って罰することで再発防止に必要な「事実を把握こと」が困難になります。なお、IPAの調査「企業のCISO等やセキュリティ対策推進者に関する実態調査」からもCISO等がいる組織において「セキュリティリスクの分析をしていない(16.5%)」「リスク分析を行っていても、その結果を事業リスク評価に役立てていない(30.7%)」という実態も明らかになっています。
重要インフラ行動計画
「重要インフラ行動計画」が2022年1月30日に改訂され、政府は通信や電力、鉄道など重要インフラ事業者のサイバーセキュリティー対策に関し、経営陣の責任を明確化されました。
情報漏えいなどによる損害の発生で会社法上の賠償責任を問われる可能性がありますので、CISOのアカウンタビリティが問われると思います。
サイバーセキュリティ経営ガイドライン
CISOのセキュリティ機能との対応について、サイバーセキュリティ経営ガイドライン Ver2.0によればサプライチェーンリスクマネジメントを、経営層としての承認を通じて関与しており、戦略マネジメント層が主な担当分野となっております。役職に応じたアカウンタビリティが示されております。
サプライチェーンリスクマネジメント
委託先のサイバーセキュリティ対策や開発者が十分に理解できるような教育と、ベンダーリスクマネジメント(VRM)などを用いてルールが適切に守られる事まで目を配ります。こうした準備を事前に想定する事や、そのための時間や予算を確保をするスキルがCISOに求められます。なお、日本において国産クラウドサービスをカバーしているVRMはConorisがあります。
更に、システム開発に必要な個人情報や機密情報はETL(Extract Transform Load)を用いること、データ損失防止 (DLP) を用いてネットワーク外部またはネットワーク境界を越えて、機密情報が偶発的に許可なく伝送されるのを検出、モニタ、および防止することを行います。
テレワークにおける適切な労務管理について
コロナ禍における働き方改革の一環としてリモートワークが増えたことで、厚生労働省 テレワークにおける適切な労務管理のためのガイドラインなどを参考に、社員の労務管理を進められていると思います。例えば生産性監視ソフトウェアなどの導入にあたっては監視による弊害(ハラスメントやプライバシー問題、監視による息苦しさ)があるため、従業員満足度を下げることに繋がる恐れがあります。アプローチとしては業務の見える化という切り口で機密情報の取り扱いを監視します。やはりETLやDLPそして、サプライヤーについてはVRMの活用をお勧めします。
「上司は部下の生産性が低いと考えているが、部下は生産的だと考え、むしろバーンアウト(燃え尽き症候群)を感じているケースも多い」とナデラ氏はブルームバーグテレビジョンのインタビューで語った。「新しい働き方の世界において何よりも大事なのは、このパラドックスを解消することだ」と述べた。
Bloomberg 上司が部下を監視、「絶対やってはいけない」とマイクロソフトが警告
