2022/12/16
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
小原 浩之
日本の大手総合商社に34年間籍を置き、営業を一通り経験した後、経営企画・連結経営リスク・BCP・個人情報保護・情報セキュリティおよびサイバーセキュリティに関する制度の立案・推進を長年リードしてきた経験を持つ。2018年5月から、英国を本拠地とする国際的NPOであるISFの日本および極東担当代表に就き、グローバル水準のコミュニティー形成を図っている。また、デジタルで繋がっていく「接続性」の中で、人の繋がりを重視した社会デザイン形成に貢献したいと願い、デジタルリスクに関する規範研究やコンサルティングをしている。
CISO、あるいはサイバーセキュリティ責任者として、来週の役員会への出席を求められました。「サイバーリスクトレンド」として割り当てられた時間は、5分間。さて、皆様なら、どのように報告原稿を準備されますか。
セキュリティ対策の重要度が高まるにつれて、企業のリスクを監視する取締役会、あるいは経営会議やリスク委員会などでの説明を求められる方々も増えているようです。そうした会議でメンバーが戦略的な議論をする前に、論点整理のために実務責任者が報告を求められることは、よくあるようです。
サイバーリスクがテーマであっても、少し前までは、それはCIOやIT責任者の役割だったかもしれませんが、昨今のサイバーセキュリティ対策の守備範囲は、ご案内の通り、ITや通信の不具合、あるいは会社の機密データサーバの管理という枠を遥かに超えてしまっています。そこで、経営目線で俯瞰的にサイバーリスクのトレンドを説明し、戦略的な観点から来年フォーカスすべきポイントの整理を行うのは、CISOの役割になってきているようです。もしも、皆様がその立場にあって要請を受けたとしたら、どういう準備をして、原稿を構成されるでしょうか。
報告内容もさることながら、折角の機会ですので、自分には、この役割に相応しい資質があり、また努力をしていることもさりげなくアピールしておきたいところです。どういう心構えで臨めばよいでしょうか。
こういう時に意外に役立つのが、国際的なサイバーセキュリティの最前線にあるISFが提供してくれるブログです。早速、関連しそうな最近のブログを繙(ひもと)いて参考にしつつ、準備を進めていきたいと思います。
(ここから引用)
Published: November 30, 2022
SOURCE:CSOonline
Steve Durbin, Chief Executive, Information Security Forum
企業にとって、ランサムウェアやデータ漏洩は、顧客の信頼失墜や株主価値の減殺、レピュテーションの喪失、さらには多額の罰金や刑罰に結びつきかねない、尋常ならざる危険と言えます。サイバーリスクは、米国企業の役員室における最大の関心事であり、最高情報セキュリティ責任者(CISO)の役割は急速に注目を集めています。半数以上(61%)のCISOは取締役会に報告する立場にあり、取締役の方もCISOが何を説明してくれるのかに、ますます関心を寄せています。時代が要請するCISOは、ただ単に技術的なスキルを持っていれば十分という訳にはいかないのです。以下では、これからの時代に、最高情報セキュリティ責任者であるとはどういうことなのか、求められる資質を紹介します。
これからの時代のCISOに必要な特徴は、その洞察力と自信にあります。優れたCISOであれば、技術や戦術的な視点ではなく、ビジネスの観点から問題群を構造化していきます。また、有事の際にだけ呼ばれる消防士としてではなく、先見性のある船頭役として登場します。そして、広い視野と戦略的なビジョンを備え、サイバーセキュリティの能力、それに対抗して進化する脅威のベクトル、さらには諸規制の要請をも弁(わきま)えています。さらに、話し手としても秀でており、経営者が理解できる言葉を選び、サイバーセキュリティ対策の枠組みを、会社の事業目標や戦略に沿って説明していきます。
管理の目が届いていないリスクはともかく、リスクはことごとく忌避すべき有害なものばかりであるとは限りません。もしも今CISO が、すべてのリスクは悪いものであり、当然に制圧することを求めたとしたならば、社内で上手く行かなくなり、意気込んで作った計画案も頓挫しかねないでしょう。新時代のCISOであれば、諫言する役ではなく、進言する役を務めなければなりません。経営陣がチャンスとリスクを調和させようとする流れに棹をさすのです。どこまでなら大丈夫なのか? その事業が越えてはならない一線はどこにあるのか? こうした問いに、CISOは答えを求められているのです。リスクはビジネス上の判断の結果なのであって、セキュリティ責任者が取り扱いを判断するのではありません。リスクとリターンの議論の口火を切るのはCISOであっても、そのリスクをそのまま取るか、あるいはそのリスクに対して何か対処するかを決定するのは会社としての意思決定でなければなりません。
新時代のCISO像は、カリスマ性があり、進取の精神に富み、人脈が豊かで、自社やセキュリティ業界で大いに尊敬を集める人物です。情報セキュリティ対策によって会社の事業が救われた時には、すかさずそのメリットに光を当てます。また、IT部門以外の部署にも報告を受け取ってもらえるよう徐々に社内体制も整え、独自性を確保していきます。また、新世代型CISO は、業界のイベントにもよく顔を出したり、自らの経験をソーシャルメディアや放送メディアや紙媒体でも語ったりして、評判や影響力を高めていきます。
デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線の他の記事
おすすめ記事
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
2023年防災・BCP・リスクマネジメント事例集【永久保存版】
リスク対策.comは、PDF媒体「月刊BCPリーダーズ」2023年1月号~12月号に掲載した企業事例記事を抜粋し、テーマ別にまとめました。合計16社の取り組みを読むことができます。さまざまな業種・規模の企業事例は、防災・BCP、リスクマネジメントの実践イメージをつかむうえで有効。自社の学びや振り返り、改善にお役立てください。
2024/04/22
リスク対策.com編集長が斬る!【2024年4月16日配信アーカイブ】
【4月16日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:熊本地震におけるBCP
2024/04/16
調達先の分散化で製造停止を回避
2018年の西日本豪雨で甚大な被害を受けた岡山県倉敷市真備町。オフィス家具を製造するホリグチは真備町内でも高台に立地するため、工場と事務所は無事だった。しかし通信と物流がストップ。事業を続けるため工夫を重ねた。その後、被災経験から保険を見直し、調達先も分散化。おかげで2023年5月には調達先で事故が起き仕入れがストップするも、代替先からの仕入れで解決した。
2024/04/16
工場が吹き飛ぶ爆発被害からの再起動
2018年の西日本豪雨で隣接するアルミ工場が爆発し、施設の一部が吹き飛ぶなど壊滅的な被害を受けた川上鉄工所。新たな設備の調達に苦労するも、8カ月後に工場の再稼働を果たす。その後、BCPの策定に取り組んだ。事業継続で最大の障害は金属の加温設備。浸水したら工場はストップする。同社は対策に動き出している。
2024/04/15
動きやすい対策本部のディテールを随所に
1971年にから、、50年以上にわたり首都圏の流通を支えてきた東京流通センター。物流の要としての機能だけではなく、オフィスビルやイベントホールも備える。2017年、2023年には免震装置を導入した最新の物流ビルを竣工。同社は防災対策だけではなく、BCMにも力を入れている。
2024/04/12
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方