叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

CISOのメンタルと責任

f:id:slowtrain2013:20201110232956p:plain:w30 サッカーにあまり詳しくないわたしでも、ワールドカップを見ると、感動と興奮に包まれます。

そして、サッカーの試合を見ると、いつも頭の片隅でゴールキーパーを気にしているように感じます。敵か味方がシュートを放つタイミングでしか、画面に映らないゴールキーパー。サッカーは得点の入りにくいスポーツです。ずぶの素人感覚では、ゴールキーパーが動き回る機会は、試合全体のなかで少ないように感じます。

でも、わたしはコートのど真ん中で、お互いのチームがボールを蹴り合っているときも「いま、ゴールキーパーは何を見て、何を考えているんだろう??」と気になります。

ゴールキーパーが脚光を浴びるのは、PK(ペナルティキック)の場面です。

f:id:slowtrain2013:20201110235343p:plain:w300
PKは守備側が自陣のペナルティーエリア内で反則を犯したとき、攻撃側に与えられるキックです。ゴールの正面で、ゴールキーパーだけを相手に蹴ります。

PKのシーンを見ると、ゴールキーパーがなんだか可哀想に思えます。この感覚は、自分が応援しているチームであろうと、敵チームであろうと同じです。

なぜなら、反則を犯したのは、ゴールキーパー自身ではありません(もちろん、ゴールキーパー自身が反則を犯すこともあるはずですが・・・)。自分の仲間が犯した反則に対して、ゴールキーパーは尻拭いをしなくてはならないのです。そして、ゴールキーパーが尻拭いに成功する確率は低いのです。多くの場合、PKとなったら相手(攻撃側)に得点が入ります。

なんだか理不尽です・・・。ゴールキーパーはこの理不尽さをどのように解消しているのかが気になります。

f:id:slowtrain2013:20201110232020j:plain

f:id:slowtrain2013:20201110232956p:plain:w30 ゴールキーパーはチームを守る最後の砦です。

それは、組織の情報セキュリティの責任を追う、CISO(最高情報セキュリティ責任者)に通じます。

CISOの呼称は、すべての組織で一般的に使われているわけではありません。組織によって、CPO(最高個人情報保護責任者)と呼んだり、単に日本語で「情報セキュリティ責任者」という場合もあるでしょう。

組織に所属する者は、誰でも多かれ少なかれ、情報セキュリティの責任を負っています。

たとえば、営業マンが在宅勤務で会社にあるパソコンを家に持ち帰るとき、宴会は控えると思います。宴会で頭がふらつき、パソコンを居酒屋とか電車の棚に置き忘れたら、大事件だからです。

ちゃんとした会社であれば、社員を雇用するにあたって、情報セキュリティに関する誓約書に署名をしてるでしょう。すべての社員は情報セキュリティの意識向上のため、定期的に教育・訓練を受講しているはずです。基本的な情報セキュリティリテラシーは、組織にいる全員が身につけておくべき素養です。

わたしは、情報セキュリティに関わる業務を日常的に行なっています。そのため、普通の社員より情報セキュリティに関わる仕事の比率が高いです。月によるバラツキがありますが、大体、全業務の20%から30%くらいが情報セキュリティに関わる仕事です。

これをサッカーに例えると、DF(ディフェンス)の役割を果たしているといえます。

しかし、100%情報セキュリティに関わる業務を行うことはありません。

情報セキュリティは組織にいる全員が関わりますが、情報セキュリティだけ特化して仕事をしている社員は、組織にほとんどいないと思います。

このため、情報セキュリティの責任の所在は曖昧になりやすいという特徴があります。CISOのみが情報セキュリティの責任を明示的に背負っているのです。

f:id:slowtrain2013:20201110232020j:plain

f:id:slowtrain2013:20201110232956p:plain:w30 CISOは、相当ストレスのかかる役割です。

11月4日にゲーム会社のカプコンは、外部より不正アクセスを受けたことを明らかにしました。そして、11月9日には、RAGNAR LOCKER(ラグナ・ロッカー)と名乗るグループが、カプコンの経営陣に宛てた「最後通告」を発表しました。

これは典型的なランサムウェアです。

こういうセキュリティ・インシデントはもっともCISOの頭を悩ますはずです。
www.asahi.com

  • ランサムウェア:感染したパソコンをロックしたり、ファイルを暗号化することで、使用不能にし、それを元に戻すことと引き換えに「身代金」を要求する不正プログラムです。「身代金」はビットコイン等の仮想通貨を要求するケースが多いようです。

f:id:slowtrain2013:20201110232020j:plain

f:id:slowtrain2013:20201110232956p:plain:w30 米国と英国の調査では、CISOのメンタルが、やられているという結果が出ています。

  • 71%のCISOは仕事と生活のバランスとして仕事の方に重きを置き過ぎていると回答。
  • 95%のCISOは契約時間以上働いており、その超過時間は平均して週10時間。これは年間で$30,319(£23,503)分のタダ働きをCISOがしていることを意味。
  • 勤務時間外には常にスイッチをオフにできると回答しているCISOは2%のみ。83%は夜や週末の半分以上の時間を仕事に関して考えるのに費やしていると回答。
  • 87%のCISOは組織から追加勤務を期待されていると回答。
    引用:米英のCISOが感じているストレスの深刻かつ悲しい実態【海外セキュリティ】 - INTERNET Watchより

どの組織に於いても、CISOの日常業務はあまり見えてこないのが実態です。しかし、いざ、情報漏洩の事故が置きたら、真っ先に責任を負わされます。

CISOはCSIRTいち早く立ち上げ、顧客からの信頼の回復に努める必要があります。

CISOは組織を守る最後の砦です。