記事更新日: 2022/03/29
近年は企業組織のトップに「C*O」の付く役職を設置する企業が増えてきました。
CISOもその1つで、「最高情報セキュリティ責任者」の意味を持ちます。
しかしそもそも、CISOはどのような役職でどのような業務に取り組んでいるのでしょうか?
本記事ではCISOの意味や業務内容、さらには年収まで考察します。
このページの目次
「CEO」「COO」などは、アメリカスタイルの組織形態で配置される役職です。
日本の会社法で設置を義務付けられているものではありませんが、近年「重要な役職」として注目を集めています。
CISOとはどのような役職なのか、具体的に見ていきましょう。
・CISO:Chief Information Officer
CISOとは、最高情報セキュリティ責任者を指す言葉です。
基本的には経営陣として社員を指導・管理していく立場ですが、ときにはセキュリティ部門の代表として役員と社員との橋渡しをすることもあります。
企業内のあらゆる情報セキュリティに責任・最終決定権を持つため、CISOの考え方・戦略で企業セキュリティの質・方向性が決まるといっても過言ではありません。
サイバーアタックによるセキュリティインシデントが増加する中、重要性が認知されるようになってきた役職です。
CISOは、その職質上、企業のセキュリティ全般に関係します。
主な仕事内容は以下のとおりです。
実際のところ、「CISOはこんな業務を担当する」という明確な基準は存在しません。
CISOの役割・業務内容の詳細は、企業の経営スタイルや方針、企業規模などによって異なるケースがほとんどです。
例えば企業によっては、同じ人がCIO(最高情報責任者)とCISOを兼務していたり、情報部門のトップがCISOと呼ばれたりするケースもあります。
上記の業務内容は、あくまでも一例と考えてください。
CISOは役員の1人ではありますが、誰もが年収1,000万プレーヤーというわけではありません。
年収は企業の規模・経営状態・成長フェーズによって大きく異なります。
あえて具体的な金額を挙げるなら、300万~2,000万円くらいと考えるとよいでしょう。
例えば規模が大きく成熟期に入っている企業なら、役員報酬も高額です。
年収が1,000万円以上のCISOは珍しくなく、多額の収入を得られます。
一方で起業から間もない中小規模企業では、役員報酬も低めです。
小さく始めたスタートアップなら、役員でも年収300万円未満というケースは十分にあり得ます。
また、報酬は現金のみとは限りません。
ストックオプションや株式交付信託などで間接的に報酬を支払うケース、あるいは新株予約権など、自社株を報酬とする「株式型報酬」を行うケースが増えているようです。
2015年に経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」にも、CISOを設置することの必要性が述べられています。
欧米と比較して日本の対応は遅れているといわれますが、なぜCISOが必要なのでしょうか?
その理由について見ていきましょう。
企業のセキュリティ対策は、システムを刷新したり社内体制を整えたりと、全社的な仕事になるケースがほとんどです。
決定権を持たない現場と上層部との考えが一致しない場合は、プロジェクトの遅れは避けられません。
しかしCISOが置かれていれば、現場と役員とをつなぐ窓口ができます。
予算案・体制の変化等について役員の理解を得やすくなり、プロジェクトもスムーズに進むでしょう。
経営陣は利益を出すことへの意識が強く、セキュリティリスクやセキュリティの重要性について理解が乏しいケースもあります。
セキュリティ専門のCISOを設置することで、経営陣のセキュリティ意識が高まることも期待できるのです。
またCISOが存在する企業は、経営者目線でセキュリティ対策を考えられます。
必要な施策はトップダウン形式でスムーズに行われます。
万が一セキュリティインシデントが発生した際は、CISOが強権を発動して対応できます。
スピード感のあるセキュリティ対策が可能となり、企業が大きなダメージを受けるのを防ぎやすくなるでしょう。
警察庁・総務省・経済産業省が共同で発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(令和2年3月)によると、2018年から2019年の間に、不正アクセスの認知件数は2倍、フィッシング届出件数は2.8倍にも増加していることが分かりました。
サイバー攻撃によって利益を得る犯罪集団が増加している上、攻撃の手法も巧妙化しているのが実情です。
企業は、片手間の担当者の設置や1部門に任せきりにしていると攻撃を防ぎきれません。
スキルの高いCISOがセキュリティに注力することで、不審な動きを事前に察知したりセキュリティインシデントに早期対応したりしやすくなります。
CISOの役割には、社員へのセキュリティ教育も含まれます。
CISOが積極的にルールの周知やセキュリティの重要性を説くことで、社員のセキュリティ意識も向上するでしょう。
実際のところ、情報漏えい等のセキュリティインシデントは、ヒューマンエラーが原因となっているケースが多々あります。
CISOが積極的に社員に働きかけることが、企業全体のセキュリティレベルの底上げにつながるでしょう。
CISOが担う役割には、「マネジメントとしての役割」「技術者としての役割」があります。
それぞれについて、詳しく見ていきましょう。
マネジメントとしての役割は、「経営陣の一員」としての業務です。
企業全体を俯瞰して、必要なセキュリティ施策を実行します。
社員へのセキュリティ教育も重要な役割です。
リスク管理とは、企業を取り囲む脅威を事前に把握し、対策を立てて最小化することです。
企業が直面する脅威には、直接的な攻撃を与えるマルウエアや不正アクセス・社員のコンプライアンス違反等があります。
使用中のソフトやハード・クラウドサービスの脆弱性なども、セキュリティリスクとなり得ます。
CISOの最初の役割は、リスクの調査や評価です。
その後、トラブルが発生した場合の具体的な損失・影響を割り出します。
企業が直面している脅威の緊急性・重大さをレベル分けし、優先度の高いものから対策を打ち出していくことが必要です。
セキュリティ対策を適切に行うには、ツールをそろえたりオペレーションを実行するための資金や人員が必要です。
しかし企業によってはセキュリティ対策の重要性に気付かず、十分な予算・人員を確保していないケースがあります。
CISOは経営陣の一員として他の役員にセキュリティの重要性を伝え、リソース不足の解消をすることが任務です。
CISOはセキュリティ対策のプロとして現場に立つこともあります。
CISOの技術者としての役割を見ていきましょう。
セキュリティツールの選定や導入は、CISOの責任で行われるのが一般的です。
セキュリティ対策が必要な端末の数や必要なセキュリティレベルを考慮して、最適なシステムを導入しなければなりません。
法人向けのセキュリティシステムの中には、集中管理機能を持つものが多々あります。
システムのアップデートや設定管理をCISOが自ら行うか、担当者を選んで管理を一任する必要があるでしょう。
マルウエアを使ったサイバー攻撃は年々増加している上、手口も巧妙化しています。
2010年以降はOSではなくIoT機器に直接攻撃するパターンが激増しており、マルウエアに感染しても発覚が遅れるケースが少なくありません。
企業のセキュリティリスクを最小限に抑えるには、CISO自らがサイバー攻撃やマルウエアの最新情報について常に目を光らせておく必要があります。
参考:サイバー攻撃の最近の動向等について(令和2年12月3日)|総務省
CISOと混同されがちなのがCIOです。
企業によってはCISOとCIOとを兼務するケースも多く、違いがよく分からないと感じる人は多いでしょう。
ここでは、CISOとCIOの役割を表にまとめました。
それぞれの違いについて確認してみましょう。
| 正式名称 | 管轄 | 専門分野 | 同等の役職 | 主な業務 | |
| CISO | Chief Information Security Officer | CSIRT( Computer Security Incident Response Team) | セキュリティ | CIO CTO(Chief Technical Officer) |
セキュリティ管理全般 |
| CIO | Chief Information Officer | IT部門 | 情報システム | CDO(Chief Digital Officer) CTO CISO |
情報・システム管理全般 |
CISOは企業の「セキュリティ」面の最高責任者です。
専門分野・担当業務は共にセキュリティで、ツールの選定からシステムの構築まであらゆる面に責任を持ちます。
CISOの所属部門は「IT部門」が一般的でしたが、セキュリティ意識の高まりによりCSIRT(シーサート:Computer Security Incident Response Team)を設置する企業が増えています。
これはセキュリティインシデント対応のための専門部署で、CISOが事実上のトップです。
CISOと同等の役職として、CIOや企業の技術部門を総括するCTO(最高技術責任者:Chief technical Officer)などがあります。
CIOは、情報システム部門の最高責任者です。
専門分野・担当業務は情報・システム管理全般で、社内システムの構築や最適化・情報システムを利用した事業戦略の策定などを行います。
管轄は主にIT部門ですが、営業部門や経営企画部門とも深い関わりがあります。
CIOは企業全体を俯瞰する必要があり、多角的な立場で物事を測れることが重要です。
同等の役職には、主にDX(デジタルトランスフォーメーション)の推進を担当するCDO(最高デジタル責任者:Chief Digital Officer)・CTO・CISOなどがあります。
CISOは技術的・経営者的側面から企業のセキュリティ施策を考える必要があります。
CISOに求められる知識にはどのようなものがあるのかを紹介します。
セキュリティ部門のトップとして、現場で対応できる実質的なITスキルは必須です。
CISOに任命される人は元SE(システムエンジニア)やIT部門出身の人が多いため、それなりの知識は備えているかもしれません。
しかし技術は日進月歩で進化しており、古い技術では対応できないシーンも増えています。
IPA(情報処理推進機構)は、セキュリティに携わるエンジニアは以下のスキルが必要であると述べています。
CISOなら、全ての領域について、ある程度の知識を持つのが理想です。
1. 情報セキュリティマネジメント
2. ネットワークインフラセキュリティ
3. アプリケーションセキュリティ(Web、電子メール、DNS)
4. OSセキュリティ(Unix、Windows、Trusted OS)
5. ファイアウォール
6. 侵入検知システム
7. ウイルス
8. セキュアプログラミング技法
9. セキュリティ運用
10. セキュリティプロトコル
11. 認証
12. PKI
13. 暗号
14. 電子署名
15. 不正アクセス手法
16. 法令・規格
参考:情報セキュリティ専門家の育成:IPA 独立行政法人 情報処理推進機構
前述のとおり、サイバー攻撃は年々増加している上、手段も多様化しています。
CISOとして、「企業を取り巻くサイバー攻撃の現状」「現在主流の攻撃手口」などには神経を尖らせておかなければなりません。
サイバー攻撃の現状や政府の注意喚起に関する最新情報は、内閣サイバーセキュリティセンターのホームページやIPA 独立行政法人情報処理推進機構などで確認できます。
CISOは経営陣の一員として、セキュリティ施策を経営者視点から展開することを求められます。
自社の現在の経営状況や今後の展望・企業目標などについて深い知識と理解が必要です。
自社ビジネスへの知識・理解がないと、「何が自社にとってセキュリティリスクになるのか」「どこに」「どのくらい」「どのような影響が出るか」を判断できません。
特にIT部門からCISOになった人は、財務諸表や貸借対照表といった基礎的な経営指標の把握に苦しむことが多いといわれます。
CISOは、経理・経営の基礎知識も付けておくと安心です。
CISOになるためには、SEやIT技術者としての経験だけでは十分とはいえません。
CISOを目指す人が、積んでおきたい経験を紹介します。
企業全体のセキュリティ体制を最適化することは、CISOの重要な役割の1つです。
CISOは「今ある会社のリソースをどのような配分で・いつ・どこに使うか」を適切に判断していかなければなりません。
そのためには、実際に情報システム部門でマネジメントを行った経験があると望ましいでしょう。
マネジメントとは、限られた人的・資金的リソースを最大限有効に使うための「管理能力」を指します。
情報システム部門でのマネジメント経験があれば、「システム保守・管理にどのくらいの人員が必要か」「新たなプロジェクトを立ち上げるのにどのようなスキルの人が必要か」などを把握しやすくなります。
業務中に何らかのトラブル等が発生した際は、「現状把握」「仮説立案」「仮説の検証」の流れで対処するのが一般的です。
しかしトラブル対応経験がないと、冷静にマニュアルに添った対応を行うのが難しくなります。
CISOは常に冷静な目を持ち、現場を引っ張っていかなければなりません。
トラブル対応の経験が豊富な人ほど、いざというとき冷静でロジカルでな対応ができるでしょう。
CISOは対外的に説明したり、他の役員や社員に今後の展開・見通しを説明したりといった折衝(せっしょう)を行う場面が多くなります。
技術畑一筋ではなく、営業や渉外担当経験あるいはリーダー経験があることが望ましいでしょう。
CISOは経営陣の一員として、企業の方針や対策について説明する機会が少なくありません。
「人に伝える」「納得させる」というスキルが不足していると、CISOとしての信頼度が低下する恐れがあります。
CISOを目指すなら、情報関連の資格を持っておくと対外的に有利かもしれません。
ここからは、CISOを目指す人におすすめの資格を紹介します。
2016年に経済産業省が策定した、「情報セキュリティサービス基準」の専門性を満たす国家資格です。
通称名の「登録セキスペ(登録情報セキュリティスペシャリスト)」で呼ばれることも多いでしょう。
情報処理技術者試験の中では最も難易度が高く、技術水準レベル4に設定されています。
試験では、情報システム及び情報システム基盤の基礎知識や情報セキュリティの動向・事例、及びセキュリティ対策に関する知識、さらには情報セキュリティマネジメントについての知識も必要です。
合格率は15%前後と低めですが、この資格を持っているとセキュリティの専門家としての信頼度が大幅にアップします。
IPA 独立行政法人 情報処理推進機構:制度の概要:情報処理安全確保支援士試験
情報セキュリティマネジメントの需要増加を受けて創設された国家資格です。
試験では、情報セキュリティマネジメントについての基礎知識が問われます。
試験は情報セキュリティの基礎問題を中心に出題されます。
技術水準レベル2に設定されているので、難易度はさほど高くないといえるでしょう。
レベル的に、情報処理安全確保支援士の前に受験するのがおすすめです。
試験に合格すれば、情報セキュリティについての一般的な知識を備えていることをアピールできます。
情報セキュリティマネジメント試験
公認情報セキュリティマネージャーは、アメリカのISACA(情報システムコントロール協会)が認定している情報セキュリティの資格です。
国際的に認められた資格なので、外資系や海外とのやり取りが多い企業では有利になるでしょう。
試験内容は情報セキュリティガバナンスや情報セキュリティのインシデントの管理についてなので、CISOを目指す人にマッチしています。
ただし、試験に合格しても「5年以上の実務経験がある人(セキュリティマネージャーとしての経験が3年以上)」以外は資格として認定されません。
ある程度現場で経験を積んでから試験を受けるのがおすすめです。
試験は日本語で受けられますが、申込みは英語サイトで行う必要があります。
CISM Certification | Certified Information Security Manager | ISACA
詳細:ISACA東京支部/公認情報セキュリティマネージャー (CISM: Certified Information Security Manager)
CISOは、企業のセキュリティについて一切の責任を負うトップです。
現場と密に連携を取りつつ、強いリーダーシップで企業のセキュリティ体制を最適化していかなければなりません。
セキュリティスキルはもちろん、コミュニケーションスキルやマネジメントスキルも必要となるでしょう。
CISOを目指す人は、現場での経験はもちろん、マネジメント能力や一般的な経営知識など幅広い分野に知見を深め、経験を積んでいくのがおすすめです。
画像出典元:Unsplash・Pixabay
【経営者のストレス】5つの解消法と溜め込まない方法を紹介
CEOとは?代表取締役・社長・COOとの違いや役割を組織図付きで解説
CMOとは?CEOやCOOとの違い・役割やスキル・年収を解説
CFO(最高財務責任者)とは?役割、必要な経歴、年収を解説!
CSOの役割とは?平均年収、設置するメリットも一挙紹介!
CTO(最高技術責任者)とは?仕事内容から年収まで徹底解説!
CPOとは?最高個人情報責任者の役割と本当にあった個人情報漏洩事例
CXOとは?COOなど主な15種の意味、役割、CEOと社長の違いも解説!
CIOとは?最高年収は5千万!必要な知識や能力・優秀なCIOの育て方
CDO(最高デジタル責任者)とは?企業のDX戦略での役割と必要性を解説!
