「経営を動かす説明力を鍛えつつ、今も自らログ解析」 - みんなの銀行CISO二宮氏：セキュリティリーダーの視座（2/3 ページ）

[星原康一，ITmedia]

例えば、寿司屋の出前では……CISOに必要なのは分かりやすく説明する能力

――セキュリティを専門とするようになったきっかけは何だったのでしょうか。

二宮氏：　決定的だったのは、2011年に受けたDDoS攻撃です。実際に攻撃を受け、サービスが一時的に停止する事態に直面しました。

　銀行が止まるというのは、やはりあってはならないことです。この経験を通じて、私自身も、そして組織全体も「セキュリティを本気でやらなければならない」というモードに切り替わりました。

Photo by 山田井ユウキ

――その経験から、CISOという役割をどのように捉えていますか。

二宮氏：　CISOは決して特別な存在ではありません。他のCxOと同様に、自身の専門領域における「説明責任（アカウンタビリティ）」を果たす役割だと考えています。

　ただ、サイバーセキュリティは非常に専門的でマニアックな領域です。そのまま説明しても経営層には伝わりません。そこで重要になるのが「翻訳」です。

　例えば、当時のDDoS攻撃を説明する際には、「寿司屋にみんなで一斉に電話をかけて注文するようなものです」とか、「電話を繋いだまま無言でいる嫌がらせと同じです」といった例え話を使いました。回線がパンクする、あるいは電話対応に手が回らなくなり、正しい注文を受けられなくなるということが、感覚的に分かると思います。そうしてイメージを共有した上で、「この攻撃ならここまで防げますが、これ以上は難しい」と、守れる範囲と限界を正直に説明します。

Photo by 山田井ユウキ

　CISOは、経営層に腹落ちさせる説明能力が第一です。最後は経営判断を仰ぐかたちになりますが、そのための判断材料を正しく提供しなければなりません。セキュリティは「正解が一つ」ではないので、前提・リスク・選択肢を整理して、意思決定できる状態をつくるのが役割だと思います。

――説明責任は、社内だけではなく、お客さまに対しても同様のことが言えますか。

二宮氏：　そうですね。フィッシングの手口やそれに対する注意喚起のような話もそうですが、場合によってはお客さまにもしっかりと説明していかなければいけません。そこで、分かりやすい説明ができるかどうかは重要なポイントです。

　いずれにせよ「100％守れるものではない」という前提を理解してもらう必要があります。「ここまではいけるけど、このパターンはダメなんですよ」といった話を、納得できるものにする。それは今でも共通するものだと思います。