CISOとは何か？ITセキュリティ最高責任者の役割を解説

チーフ・インフォメーション・セキュリティ・オフィサー（CISO）は、組織の情報およびデータセキュリティに責任を持つ最高レベルの経営幹部です。

すべての企業が、企業ピラミッドの頂点で活動するセキュリティ担当役員を持っているわけではありません。実際、北米企業のうちCISOを持つのはわずか45％に過ぎないと、CSOのSecurity Priorities Study 2024は報告しています。さらに、IANSの2024 State of the CISOレポートによると、Cスイートにインフォセックのトップがいる企業は20％にとどまり、10億ドル以上の企業では15％にまで下がります。この違いは、肩書きに「C」がついていても、実際にはVPやディレクターとして他の経営幹部に報告している場合があるためです。

CISOがいる場合、彼らは重要な役割を果たします。CSOのSecurity Priorities Studyによると、CISOやCSOがいない企業は、優先順位の競合やセキュリティ目標を達成するための十分な予算不足に悩まされる傾向があり、CISOやCSOがいる企業は、取締役会との連携がセキュリティ施策の向上に役立つと答える割合が、そうでない企業のほぼ2倍でした。

以下に、CISOの責任と要件の概要、そしてCISOを目指す意欲的なセキュリティリーダーがその職を得るためにできることを紹介します。初めてCISOを採用しようと考えている組織向けにも、候補者に求めるべきポイントをまとめています。

CISOとCSOの違い：名称と序列は？ 

CISOという肩書きは、もう一つの重要なセキュリティ役員であるチーフ・セキュリティ・オフィサー（CSO）に似ています。一般的に、CISOは情報セキュリティに専念し、CSOは物理的セキュリティやリスク管理も含めたより広い範囲を担当すると言われています。

しかし、現実はもっと複雑です。多くの企業、特に小規模な企業では、Cレベルのセキュリティ担当役員が1人だけで、その人がCSOと呼ばれ、ITセキュリティ機能がその下にあります。または、CIOしかおらず、サイバーセキュリティのトップがVPやディレクターの肩書きでCIOに報告している場合もあります。

「時にはCSOはいるがCISOがいないのは、単に両方を置くほど大きな会社ではないからです」とPatrice Williams-Lindo氏（Career Nomad CEO、長年の経営コンサルタント）は語ります。「しかし、多くの大企業では、社内政治も絡みます。CSOが予算や影響力を脅かされるのを嫌ってCISOの新設に抵抗したり、経営陣が物理的セキュリティとサイバーセキュリティの違いをまだ理解していなかったりします。サイバーリスクに専任の席が必要だと気づくのは、組織の成熟度が高まった証拠です。」

CSOとCISOが両方いる組織では、その関係は会社の構造や目標、企業内の政治によって異なるとWilliams-Lindo氏は言います：

• CISOがCIOに報告？「会社はサイバーをITのコストセンターと見ており、戦略的リスクとは捉えていません。」
• CISOがCSOに報告？「多くの場合、会社がサイバーと物理的セキュリティを同一視する昔ながらの体制です。」
• CISOがCEOや取締役会に報告？「これが今後の主流となる方向です。規制強化や情報漏洩後の株主訴訟、顧客の信頼が背景にあります。」
• 二重またはマトリックス報告？「これは誰もリスクの全責任を負いたくない場合によく見られます。」

「CSO対CISOは、しばしば縄張り争いを“連携”と装っているだけです」とWilliams-Lindo氏は言います。「書類上はCSOが全セキュリティを統括しますが、サイバーリスクは今や予算・可視性・取締役会アクセスの“金の切符”です。お金やリスクの話ができるCISOは、CSOやCIOを飛び越えて直接CEOに報告するケースが増えています。」

これらのトピックについてさらに詳しく知りたい方は、「CISOが誰に報告するかは重要か？」や「報告ライン：ITから分離することでCISOは助かるか？」をご覧ください。本記事では、CISOという用語を組織の情報セキュリティ最高責任者として使用しますが、実際の肩書きや報告体制は企業によって異なる点にご注意ください。

CISOの主な責任

CISOは何をするのでしょうか？CISOの仕事を理解する最良の方法は、日々の業務内容を知ることです。すべての職務が同じではありませんが、1990年代にCitigroupでCISO職を切り開いたStephen Katz氏は、MSNBCのインタビューでCISOの責任範囲を以下のように分類しています：

• セキュリティオペレーション：即時の脅威のリアルタイム分析および問題発生時のトリアージ
• サイバーリスクとサイバーインテリジェンス：新たなセキュリティ脅威の把握、買収など大きなビジネス展開に伴う潜在的なセキュリティ問題を取締役会に説明
• データ損失および不正防止：内部スタッフによるデータの不正利用や窃盗の防止
• セキュリティアーキテクチャ：セキュリティ機器やソフトウェアの計画・購入・導入、IT・ネットワークインフラのセキュリティ設計
• ID・アクセス管理：許可された人物だけが制限データやシステムにアクセスできるようにする
• プログラム管理：リスク軽減のためのプログラムやプロジェクトの実施（例：定期的なシステムパッチ）
• 調査およびフォレンジック：侵害時の原因究明、内部関係者への対応、再発防止策の立案
• ガバナンス：上記施策が円滑に進み、必要な資金が確保されるよう管理し、経営陣にその重要性を理解させる

CISOに求められる要件

この役割に就くために必要なものは何でしょうか？一般的に、CISOには堅実な技術的基盤が求められます。Cyberdegrees.orgによれば、通常、コンピュータサイエンスまたは関連分野の学士号と7～12年の職務経験（うち5年以上は管理職経験）が期待されます。セキュリティに特化した技術系修士号も近年人気です。

また、期待される技術スキルは多岐にわたります。プログラミングやシステム管理の基本に加え、DNS、ルーティング、認証、VPN、プロキシサービス、DDoS対策技術、コーディング手法、エシカルハッキングや脅威モデリング、ファイアウォールや侵入検知・防御プロトコルなどセキュリティ中心の技術も理解している必要があります。さらに、CISOは規制対応も求められるため、PCI DSS、HIPAA、GLBA、SOXなど、業界に影響する各種規制にも精通しているべきです。

しかし、技術知識だけが求められるわけではなく、最も重要とも限りません。「効果的なCISOは本質的にクロスファンクショナルで、技術的専門知識とビジネス理解を兼ね備えています」とRalph Pyne氏（Apollo.io CISO）は言います。「セキュリティチームは予算が限られることが多いため、“少ないリソースで多くを成す”アプローチに長けており、財務部門から信頼されています。」

CISOの仕事の多くは、管理や会社の経営陣へのセキュリティ推進に関わります。ITリサーチャーのLarry Ponemon氏はSecureWorldで「最も著名なCISOは優れた技術基盤を持つ一方で、ビジネスのバックグラウンドやMBA、他のCレベル役員や取締役とコミュニケーションできるスキルを持っています」と述べています。

Paul Wallenberg氏（人材派遣会社LaSalle Networkテクノロジーサービス部門副社長）は、CISO候補者が評価される技術・非技術スキルのバランスは、採用企業によって異なると述べています。

「一般的に、グローバルまたは国際的なビジネスを展開する企業は、包括的かつ機能的なセキュリティ経験を持つ候補者を求め、リーダーシップスキルやキャリアの進展、過去の実績を重視します。一方、ウェブやプロダクトに特化した企業は、アプリケーションやウェブセキュリティに関する特定のスキルセットを重視する傾向があります。」

「10年前はコンプライアンスや一般的なIT経験で十分でしたが、」とNic Adams氏（0rcus共同創業者兼CEO）は言います。「今のCISOはカスタムゼロデイフレームワーク、クローズドループOSINT、ライブアドバーサリーエミュレーション、アンチフォレンジック制御設計などを持ち込んでいます。」

CISO資格

CISOを目指してキャリアアップする際、資格取得で履歴書に箔をつけるのも有効です。Information Security誌によれば、「これらの資格は知識をリフレッシュし、新たな思考を促し、信頼性を高め、健全な社内研修カリキュラムの必須要素です」。ただし、選択肢は非常に多岐にわたります。0rcusのAdams氏は、現代のCISOによく見られる資格として以下を挙げています：

• 「OSCPやGPENなどのトレードクラフト資格、および実証されたエクスプロイト開発の実績」
• 「CISSPやCISAなどのガバナンス・監査資格で取締役会レベルのリスクをナビゲート」
• 「CCSPやKubernetes Certified Security Specialistなどのクラウド・コンテナセキュリティ資格」
• 「GCIAやGCIHなどの脅威インテリジェンス・DFIR資格」

CISOの職務記述書

組織の有望なCISOを探す場合、職務記述書の作成も重要なプロセスです。これまで述べてきた内容が、その基盤となります。

「まずCISOを採用するかどうかを決め、職位レベルや報告ライン、正式な肩書きを決定します。小規模企業ではCISOがVPやセキュリティディレクターの場合もあります」とLaSalle NetworkのWallenberg氏は言います。「また、職務の最低要件や資格を設定し、外部候補者の募集や社内公募を行います。」

CISOの職務記述書は、汎用的なものにしてはいけません。0rcusのAdams氏は、組織の種類ごとにCISOの職務記述書や責任をどのようにカスタマイズすべきかを次のように説明しています：

• 「公共部門や防衛組織は、機密データの取扱い、クロスドメインガード、FISMAやNISTの深掘り、主権レベルの脅威ハンティングに重点を置きます。」
• 「民間のテック企業は、CI/CDパイプラインセキュリティ、DevSecOps統合、ライブファイアのレッドチーム演習、ゼロトラスト・マイクロセグメンテーションを重視します。」
• 「金融や医療などの規制業界では、リアルタイムの不正分析、KYC/AML対応、暗号化優先のアーキテクチャ、継続的なサードパーティリスク評価が求められます。」

Michael Nadeau氏は、CISOの職務記述書の書き方を詳しく解説しています。重要なポイントの一つは、組織のセキュリティへのコミットメントを冒頭から明確に打ち出すことです。これによって質の高い候補者を引き寄せることができます。新CISOが組織図のどこに位置し、どれだけ取締役会と関わるかも明示すべきです。

Nadeau氏が指摘するもう一つの重要点は、職務記述書を常に最新に保つことです。たとえ現職者がいても、いつその人が別の機会に移るかわかりませんし、この役割は空席にしたくない極めて重要なポジションです。

CISOの給与

CISOはハイレベルな職種であり、それに見合った報酬が支払われます。給与の予測は科学というより芸術に近いですが、10万ドルを大きく超えるのが一般的というのが大方の見方です。執筆時点で、ZipRecruiterによる全米平均は$148,746、Salary.comは$346,000～$429,000とさらに高く見積もっています。GlassdoorのCISO求人の給与レンジは$204,000～$364,000と中間的です。

CISOの求人

CISOの求人市場は常に変化しており、CISO職の獲得方法やキャリアパスの歩み方について最新情報を提供しています：

• 「CISOがビジネスリーダーシップのために役割を再定義」：CISOがビジネスリスクに関する責任を拡大している実態を学べます。
• 「CISOはビジネス界で最も不人気な役職になったのか？」：多くのCISOが直面する厳しい現実を詳しく解説します。

• 「CIOがCISOに求めるもの：協力と責任転嫁の排除」：2人のCIOがセキュリティ部門との関係や、CISOがCIOの配下であっても密接な連携が必要な理由を語ります。
• 「CISOが職を失った7つのセキュリティインシデント」：経営幹部として最終責任を負うCISOの失敗事例から学びましょう。

vCISOとは？

CISOキャリアパスにおける最近の動向として、フルタイムCISOを置けない組織がバーチャルCISO、すなわちvCISOを活用するケースが増えています。これらのフラクショナル（部分的）またはパートタイムの経営幹部は、独立コンサルタントや大手企業の一員として活動し、企業のセキュリティプログラム構築や成熟化、コンプライアンス目標の達成、リスク管理戦略の指導を支援しますが、フルタイム雇用のコストはかかりません。フルタイム従業員ほどの専念は得られませんが、実際にはそれを必要としない企業も多いのです。例えばCynomiのState of the Virtual CISO 2024によれば、MSPやMSSPの75％がvCISOやフラクショナルCISOの需要が非常に高いと報告しています。

セキュリティ専門家にとって、vCISOの道はもう一つの魅力的な選択肢です。個人で活動する場合も、企業と提携する場合も、ブティック型コンサルティングを立ち上げる場合も、vCISOは日々の業務においてより大きな自律性と多様性を享受でき、自分の強みに合わせて案件を選ぶことができます。伝統的な経営幹部の階段とは異なる、実現可能でやりがいのある選択肢であり、常に新しい課題を求め、業界を超えてスキルを磨き続けたい人に特におすすめです。詳しくは「vCISOの台頭：実現可能なサイバーセキュリティキャリアパス」をご覧ください。