最高情報セキュリティ責任者/最高セキュリティ責任者

    本ページは英語ドキュメントを翻訳したものです。

     


     

    最高情報セキュリティ責任者/最高セキュリティ責任者

     

    最高情報セキュリティ責任者(CISO)などのセキュリティ エグゼクティブの役割を担える資格は、一夜にして身につくものではありません。通常、サイバーセキュリティ テクノロジーに関する深いバックグラウンドを持ち、企業経営の経験を積み、該当する規制/法令に関する知識を持っている人が、その資格を有しています。

     

    これらの企業幹部は多くの場合、組織の経営側と IT またはセキュリティ部門との間の「アンバサダ」として機能します。CISO は組織のニーズとサイバーセキュリティ リスクの間でバランスを取り、適切な対応レベルにアドバイスを与える必要があります。

     

    一般的な組織において、セキュリティ チーム内の CISO の役割に求められるスキル、知識、経験の概要を以下に示します。

        

    チームの役割:ポリシー、予算、優先度を定める
    標準的な経験レベル:7 ~ 10 年以上
    業務報告先:CIO または CEO
    主なスキル:
    • 業務経営についての理解
    • 規制に関する知識
    • コミュニケーション スキル
    • 組織化のスキル
    • 組織のリスクについての理解
    • 適切な(または不適切な)セキュリティがビジネスにどのような影響を与えるかについての理解
    標準的なアクティビティ:
    • 組織全体の情報セキュリティ プログラムが効果的に実施されていることを確認する
    • サイバーセキュリティ ポリシーの交渉、文書化、更新を行い、関係者に伝達する
    • 組織のミッションやビジネス機能をサポートするシステムを保護するためのリソース(人員と予算)を割り当てる
    • 人材、アウトソーシング リソース、および全体的なサイバーセキュリティ予算を予測し、割り当てる
    • 承認されたセキュリティ計画によってシステムが保護され、運用可能であることを確認する
    • システムとテクノロジーを取得、導入、運用、廃止するプロジェクトに、サイバーセキュリティ ポリシー ガイドラインおよび要件を取り入れるために関係者と連携する
    • エグゼクティブ レベルの経営陣と、情報セキュリティまたはサイバーセキュリティの任務を果たす部門との間の主要な調整役として機能することもある
    • 該当する法令および規制に関する知識を保持する
    • 購入を承認する
    • 規制順守および法令順守を確認する
    • ビジネス リスクを評価し、ビジネス上の優先事項およびトレードオフと比較してリスクを計測する
    責務:
    • 通常、組織の情報セキュリティの指揮
    • 最高責任者(またはシニア レベル エグゼクティブ)としての役割
    • 以下の役割を担う部門またはチームの指揮:
      • 組織のシステム、サービス、情報の保護
      • 顧客またはビジネス パートナーのプライバシー情報の保護
      • セキュリティに関する規制/法令順守の維持
      • 組織がサイバーセキュリティ リスクにさらされる度合いを制御し、情報やシステムの機密性、整合性、可用性を確保
    キャリアの経験:
    • IT およびセキュリティ部門での 7 ~ 10 年以上の実務(セキュリティ運用とチーム管理経験を少なくとも 5 年含む)
    • 組織の業務分野(医療、金融、政府、小売など)での少なくとも 5 年の実務経験
    • 学士号(通常、コンピュータ サイエンスまたは関連する技術分野)
    • 経営学その他のエグゼクティブ レベルの教育に関する修士号(あれば望ましい)
    • 法律の学位を有する、あるいはパラリーガルまたは広範な法規制順守のトレーニングを受けている場合もある

     

    推奨されるシスコ技術者認定とトレーニング

    CISO が標準的に保有する情報セキュリティ管理のさまざまな認定資格に加えて、多くの場合、組織で採用されるテクノロジーに関連する最新の規制、セキュリティ リスク、課題に精通するよう継続的に教育を受けることが求められます。

     

    シスコの多くのコースは、CISO の知識を最新に保つうえで役立つ継続的な教育制度として認められています。CISO は、最近購入したセキュリティ テクノロジーの製品トレーニングを受講することに関心を持つ場合や、実践的なセキュリティ スキルを強化/刷新するために特定のテクノロジーの経験を積みたいと希望する場合もあるでしょう。

     

    また、シスコ技術者認定プログラムは、サイバーセキュリティの役割を担うにふさわしい候補者を CISO が識別するうえでも役立ちます。サイバーセキュリティ分野のシスコ技術者認定を受けているということは、学術的な概念を理解しているだけでなく、それらの概念をエンタープライズ グレードの設備に実際に適用し、実装できることを示しています。

     

    :CISO は、シスコ技術者認定の代わりに CISSP、CISM などの他の認定資格を保有していても差し支えありません。シスコはセキュリティ管理の認定資格を特別に重視しているわけではありません。しかし CISO の中には、経営面に多くの時間を割いているため、自分の技術的スキルが時代遅れになる危険を認識している方がいらっしゃるようです。そのため、実践的な学習をより頻繁に受けることを望む CISO の方々もいます。シスコ プログラムは、継続的な教育制度として (ISC)2 によって認められています。Lancope コースを受講すると SANS Institute の単位取得が可能です。他の認定プログラムでも、これらのコースによって単位を取得できる場合があります。

     

    セキュリティ チームのフレームワークについては、「Managers, Is Your Security Team Complete?(貴社のセキュリティ チームの完成度は?)」を参照してください。

    CLNBanner