CISOを探せ！──セキュリティと経営を理解できる人材がサイバー攻撃から企業を救う：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[山下竜大，ITmedia]

サイバー攻撃に対するチームと仕組みを創る

　サイバー攻撃に対応するためには、CSIRT（Computer Security Incident Response Team）の構築が急務といえる。ただしCSIRTは、緊急対応チームではない。常に必要な準備を行い、訓練を行ってサイバー攻撃に対応するチームであり、現場にも、経営者にも分かりやすい言葉でサイバー攻撃を伝えるコミュニケーション能力も不可欠になる。

　またインシデントをいち早く察知するシステムであるSOC（Security Operation Center）を検討し、導入することもCSIRTの重要な役割である。しかしSOCは、監視センターではない。SOCとは、情報を収集するためのセンサーと収集した膨大な情報を分析するシステムの集合体。CSIRTは、SOCと体制を両立させることが必要になる。

　「サイバー攻撃に対応するためには、マルウェア対策や公開サーバへの不正アクセス対策、内部犯行への対策など、さまざまな対策が必要になる。セキュリティ対策の考え方は1通りではなく、技術者、研究者、経営者のそれぞれの立場で、それぞれに違っている。そこでいかに作戦を立てるかが重要になる」（三輪氏）

　また、メディアの報道により目立つ会社と目立たない会社、社会的に影響の大きい会社と影響が小さい会社など、会社によっても対策方法は違ってくる。そのほか、予算、担当者の力量などをすべて考えてできる対策を実施することが必要になる。そこで重要になるのが、最高情報セキュリティ責任者（CISO）の存在である。

　しかしCISOは、米国でも「見つけられない職種」と言われている。理由は、CISOがセキュリティと経営の両方を理解することが必要なためだ。どちらかを理解している人はいても、両方を理解している人は少ないのが実情。実際に見つけても同業種で転職を繰り返していることが多く、結局は最高情報責任者（CIO）が兼任することになる。

　三輪氏は、「CISOにふさわしいのは、情報システム部門において基幹システム開発の経験が長く、会社の業務や文化を良く理解しており、経営者や各部門の責任者と円滑なコミュニケーションができる人だ。外部から来た文化も人脈もないセキュリティ専門家が組織を変えるのは困難。企業の内部から登用すべきだ」と話し講演を終えた。