CISOのアカウンタビリティ

「重要インフラ行動計画」が2022年1月30日に改訂され、政府は通信や電力、鉄道など重要インフラ事業者のサイバーセキュリティー対策に関し、経営陣の責任を明確化されました。

重要インフラの情報セキュリティ対策に係る 第4次行動計画
本行動計画の要点

情報漏えいなどによる損害の発生で会社法上の賠償責任を問われる可能性がありますので、CISOのアカウンタビリティが問われると思います。

サイバー攻撃対策、経営責任に 政府、重要インフラ強化 | 2022/1/22 – 共同通信

さて、リスクマネジメントは、企業経営において想定されるリスクを管理し、損失を回避もしくは低減させる取り組みを指します。

つまり、CISOに求められるリスクマネジメントは何かあってから犯人探しを行い、末端の社員または委託先を罰する事ではありません。却って罰することで再発防止に必要な「事実を把握こと」が困難になります。なお、IPAの調査「企業のCISO等やセキュリティ対策推進者に関する実態調査」からもCISO等がいる組織において「セキュリティリスクの分析をしていない(16.5%)」「リスク分析を行っていても、その結果を事業リスク評価に役立てていない(30.7%)」という実態も明らかになっています。

サイバーセキュリティ経営ガイドライン

CISOのセキュリティ機能との対応について、サイバーセキュリティ経営ガイドライン Ver2.0によればサプライチェーンリスクマネジメントを、経営層としての承認を通じて関与しており、戦略マネジメント層が主な担当分野となっております。役職に応じたアカウンタビリティが求められると思います。

出典:サイバーセキュリティ経営ガイドライン Ver2.0 付録 F
出典:サイバーセキュリティ経営ガイドライン Ver2.0 付録 F

サプライチェーンリスクマネジメント

委託先のサイバーセキュリティ対策や開発者が十分に理解できるような教育と、ベンダーリスクマネジメント(VRM)などを用いてルールが適切に守られる事まで目を配ります。こうした準備を事前に想定する事や、そのための時間や予算を確保をするスキルがCISOに求められます。なお、日本において国産クラウドサービスをカバーしているVRMはConorisがあります。
更に、システム開発に必要な個人情報や機密情報はETL(Extract Transform Load)を用いること、データ損失防止 (DLP) を用いてネットワーク外部またはネットワーク境界を越えて、機密情報が偶発的に許可なく伝送されるのを検出、モニタ、および防止することを行います。

テレワークにおける適切な労務管理について

コロナ禍における働き方改革の一環としてリモートワークが増えたことで、厚生労働省 テレワークにおける適切な労務管理のためのガイドラインなどを参考に、社員の労務管理を進められていると思います。例えば生産性監視ソフトウェアなどの導入にあたっては監視による弊害(ハラスメントやプライバシー問題監視による息苦しさ)があるため、従業員満足度を下げることに繋がる恐れがあります。アプローチとしては業務の見える化という切り口で機密情報の取り扱いを監視します。やはりETLやDLPそしてサプライヤーについてはVRMの活用をお勧めします。

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)