2018年7月4日、一般社団法人 日本CISO協会は、第1回となるCISO補佐官試験を実施した。初回にも関わらず、50名を超える受験者が2箇所の会場にて実力を測った。
試験要項は次の通りで、合格率は約38%という結果であった。
出題範囲
- 組織における内部不正防止の方針
- サイバーセキュリティに対する経営方針
- 個人データに関する保護制度、GDPR
- 経営と組織
- JIS Q 27001
| 試験時間 | 60分 |
|---|---|
| 合格基準点 | 70ポイント |
試験問題制作・解説
中澤氏(中央大学法学部兼任講師)
試験の様子(本会場)
試験の様子(サテライト会場)
CISO(Chief Information Security Officer 最高情報セキュリティ責任者)は、企業・組織内でコンピュータシステムのセキュリティ対策だけでなく、機密情報や個人情報の管理なども含めた情報セキュリティ全般を統括する担当役員のことである。CISO補佐官はCISO
の方針を的確にマネジメントに伝え、マネジメントの状況を報告し、管理策を計画立案する役割を担う。
IPAによる2017年の調査結果によれば、米国では95%以上、欧州では85%以上の企業がCISOを設置している一方で、国内企業は約60%に留まっている。
初回にも関わらず多数の企業人が受験した結果から、国内企業においてもCISOの役割・責任の重要性が理解され、設置の必要性を認識していると読み取ることができる。
CISO補佐官試験は四半期に1度の頻度で実施されるが、次回は、受験者数が今回を上回ることと想定している。
第1回の試験を記念し、日本CISO協会 代表理事の上村氏(ぴあ株式会社 取締役CISO)がCISOの実務上の役割や注意点、CISOキャリア形成などに関してスピーチをした。
日本CISO協会代表理事
上村氏(ぴあ株式会社 取締役CISO)
上村氏のスピーチを聴講する受験者(本会場)
CISOの実務上の役割・責任とは何か
「CISOは組織における情報セキュリティの責任者であり、ビジネスインパクトとコストの両面のバランスを考慮した形で、情報セキュリティの重要性を経営層に認識してもらう役割・責任を持つ」と村上氏は話す。
「CISO室のメンバーが提案する施策やアクションプランに対して、経営という立場から評価し判断する役割もある」と続けた。
組織における情報セキュリティに対するマインド
「組織において情報セキュリティ管理はコストセンターの位置付けのため、コストを下げることが目標となる。
平常時であっても情報セキュリティの防御予算は当然かかるものである。業績が良い場合は特に意識されないが、業績が悪くなると費用対効果に関心が向けられる。
これに臆する事なく、リスクマネジメントの観点から情報セキュリティ管理の必要性を繰り返し説明し、理解してもらうことが必要である。ただし、ルールで縛り過ぎてしまいビジネスに支障をきたさないようバランスをとりながら、経営層とコンセンサスを形成することが大切な事である」と上村氏は話す。
東京2020やラグビーW杯の大イベントが控えているが
「『ぴあ』のビジネス特性上、個人情報を取り扱っているが、重要情報を漏洩しない、させないことが一番大きなテーマになると考えている。
最近、『ぴあ』も外部からの攻撃を受けることがある。
他所のサービスや流出したリストを使って、不正アクセスされ、チケットを大量購入されるケースを想定し、検知・抑止する様々な仕組みを用いて対策を講じている。東京2020やラグビーW杯では、国際決済に対する業務負荷がかなり増加すると想定する一方で、セキュリティ事故を起こさない様、対応する。」と説明された。
CISOへのキャリアアップ
「CISO補佐官からCISOへステップアップする過程におけるキャリア形成は、座学による専門知識の習得も必要ではあるが、様々な業務の実務経験を積み、それらの業務プロセスの中のリスクを理解し、専門知識を使って、多種多様なリスクを許容するのか低減するのかなどを意識して仕事を遂行して行くことが結果的にキャリアアップにつながる」と上村氏は締めくくった。
試験結果
| 受験者数 | 56名 |
|---|---|
| 合格基準 | 70 |
| 合格者数 | 21名(合格率 37.5%) |
| 得点 | 最低点 40ポイント |
| 最高点 100ポイント | |
| 平均点 65.3ポイント |
