[グローバルCISOの提言─ビジネス変革を実現する情報セキュリティ対策]
RSAグローバルセキュリティレポートが示す、世界の企業のセキュリティ戦略と対策の実態
2010年4月14日(水)Security for Business Innovation Council
EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポートの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]
かつて必要悪、あるいは企業戦略の不都合な結果としかみなされていなかった情報セキュリティが、企業の成功の核となりつつある。これは単に情報セキュリティ部門だけでなく、世界中の企業の経営陣たちが認めている事実だ。英プライスウォーターハウスクーパースが先頃実施した「Global State of Information Security 2010(2010年情報セキュリティの世界的状況)」という調査では、企業の最高経営幹部の52%がセキュリティ機能の役割や重要性への認識を高めたと報告している。昨今の景気後退で生み出されたリスク環境の悪化を反映したものだ。
情報セキュリティへの意識の高まりは、セキュリティのリーダーにとっては極めて重大な契機であると同時に、より大きな責任を求められるきっかけにもなる。セキュリティのプロたちは現在、専門知識をこれまで以上に活かして、自社の最優先事項とセキュリティとの整合を取らなければならない。まずは最高経営責任者(CEO)に、セキュリティがビジネス戦略のコア・コンポーネントであることを納得してもらう必要がある。ビジネス戦略を管理しているのも、全社的な課題や目標を設定するのもCEOだからだ。情報セキュリティを戦略的なものにするためには、CEOが自社の目標と情報資産の保護との間につながりがあることを認識しなければならない。
現在の経済状況では、収益性を高めるため、コスト削減や作業効率向上などの財務体質の強化に重点をおくCEOが多数派だ。一方、企業のリーダーたちは景気回復に向かう力強いトレンドに気づき始めている。ニューヨーク証券取引所とユーロネクストを傘下に持つNYSE Euronextが発行する「NYSE Euronext 2010 CEO Report」によれば、ほぼ半数のCEOが、米国経済が2010年中に完全に回復し、世界経済も2011年中に回復すると考えている。だが圧倒的多数のCEOは、景気回復は弱く部分的なものとなると考えている。経済状況が回復したとしても、経営の手綱を緩めるつもりはなさそうだ。
現実には、CEOが現在優先する事項と情報セキュリティ戦略との間には強いつながりがある。コスト削減や業務効率化のために企業が採用している方策の多くは、革新をもたらすと同時にリスクにもなる。中でも、急激に採用が進むSaaSなどの新しいテクノロジーや、グローバル・ビジネス・モデルには要注意だ。顧客データや知的財産、企業独自の機密情報を世界中の多数の第三者と共有するのだから、リスクが生まれるのは当然だ。社内外の脅威の標的は企業の情報資産に集中するようになり、企業はますます高リスクの社会経済環境に直面することになる。
企業は積極的なビジネス目標を立てる一方、直面しているリスク環境はますます大きくなっている。情報セキュリティ担当役員はそうした環境下で、自社が適切な方法で適切なリスクをとっていることを担保しなければならない。適切な情報セキュリティ戦略は、単にコスト削減や効率といった短期的な目標の達成を可能にする。さらに自社の業績を回復させ、長期にわたって好調な業績を維持できる体制を構築するための支援ができるのだ。当然、セキュリティ・リーダーがCEOの信頼を得ていることが前提条件になる。
「Security for Business Innovation」シリーズの第5弾に当たる本レポートでは、CEOが優先する事項と情報セキュリティ戦略とのつながりについて追究する。同時に、企業のCEOやセキュリティ担当役員との間にある隔たりが、リスク・プロファイルや最終的なビジネスの成功にどのようにして悪影響を及ぼすかを検証する。
本レポートでは、そのために非常に現実的なアプローチを採用した。戦略的な情報セキュリティ業務に関して、CEOやその他の最高責任者、取締役会の支持を獲得し維持するための10の重要テクニックを取り上げる。次にその逆、つまりCEOとの折衝でやってはいけないことに関する10のヒントを示す。最後の章では、CEOに向けた思考材料を提示する。CEOが戦略的情報セキュリティをサポートしない場合、企業がどのような危険にさらされることになるかを説明する。
本レポートで取り上げるガイダンスは、Global 1000企業でセキュリティを担当するトップ・リーダーたちとのインタビューから生まれたものだ。また、Fortune 500にランクされているある企業のCEOからの寄稿記事も取り上げている。そのCEOは、世界最大のクレジットカード処理会社のリーダーとしてリスクに精通している。情報セキュリティへの関心は高まっている。将来、情報セキュリティ部門が企業内で中心的な役割を果たすか、組織の片隅で限られた役目しか任されない存在になるかは、最高情報セキュリティ責任者(CISO)の手腕にかかっている。
- Security for Business Innovation Council
- EMCのセキュリティ部門であるRSAセキュリティの主催による業界イニシアチブ
執筆 | 特別ゲスト寄稿者 |
---|---|
JP Morgan Chase社、Chief Information Risk Officer、Anish Bhimani氏 EMC社、Vice President兼Chief Security Officer、Roland Cloutier氏 eBay社、Vice President兼Chief Information Security Officer、Dave Cullinane氏 CSO Confidential社、創設者兼Director、BP社前Chief Information Security Officer、Paul Dorey教授 Time Warner社、Vice President兼Information Security and Privacy Officer、Renee Guttmann氏 Genzyme社、Global Risk and Business Resources担当Vice President、David Kent氏 Diageo社、Chief Information Security Officer、Claudia Natanson博士 HDFC銀行、Chief Information Security Officer、Vishal Salvi氏 CIGNA社、Chief Information Security Officer、Craig Shumard氏 FedEx社、Chief Information Security Officer、Denise Wood氏 |
First Data社、Chief Executive Officer、Michael Capellas氏 |
- 結論―CISO-CEO間の隔たりを埋めるために(2010/04/30)
- CEOが企業にリスクをもたらす10の項目(2010/04/30)
- CISOが体験した「CEOを遠ざけてしまう10の失敗」(2010/04/26)
- 「ニューエコノミー」が説得方法をどのように変えるか(2010/04/23)
- セキュリティの意思決定でCEOを説得するための10の項目(2010/04/21)