サイバー担当役員について知る
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバー担当役員に関する用語を定義する。
- サイバー担当役員の目標と職務を説明する。
サイバー担当役員に関する用語
中級マネージャーからチーム全体を統率するリーダーになる場合、多くの変化を体験しますが、特にサイバーセキュリティのような動的な分野で仕事をしている場合は顕著です。このモジュールでは、経験を活かして経営幹部の期待に応える優れたサイバーセキュリティリーダーになるためのスキルを身に付けます。あなたのキャリアのこの新しい段階で何ができると思いますか? National Institute of Standards and Technology (NIST): National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework (米国サイバーセキュリティ教育イニシアチブ (NICE) のサイバーセキュリティワークフォースのフレームワーク) から得られるインサイトをご紹介します。
この単元では、知っておくべきサイバーセキュリティ用語について説明してから、サイバー担当役員の目標と職務について説明し、受講者が組織でのサイバーセキュリティに関して測定可能な結果を出せることを目指します。
役員は組織の従業員を管理し、個々の従業員に影響を与え、導きます。経営リーダーシッププロセスに責任を持つ人は、通常、組織のミッションやビジョンの実現、開発方針の計画、全体的な意思決定などのビジネス活動を監督します。
セキュリティリーダーは、大規模な企業では最高情報セキュリティ責任者 (CISO) と呼ばれることが多く、サイバーセキュリティに関する豊富な経験と、人やプロジェクトを管理する能力を持っています。CISO が組織の全体的なサイバーセキュリティプログラムを管理する一方で、他の最高責任者レベルの役員 (最高経営責任者 (CEO)、最高情報責任者 (CIO)、最高財務責任者 (CFO) など) にも組織のサイバーセキュリティを導くための役割があります。経営陣が協力し合うことで、リスクを軽減するという組織の目標の計画的な実現に影響を及ぼすことができます。
現在の変化し続ける世界で、サイバーリーダーは既知の未知に対応する役割を担っています。このようなリーダーは、組織のミッションとビジョンを満たしつつ、効果的でリスクを認識した情報セキュリティプログラムを促進、設計、開発、実装する能力を発揮します。
サイバー担当役員の状況に対する理解を深めるために、CISO の役割に関するいくつかの用語を確認しておきましょう。
用語 |
定義 |
|---|---|
サイバーレジリエンス |
サイバーリソースを使用する、またはサイバーリソースによって可能になるシステムの困難な状況、ストレス、攻撃、侵害を予測し、それに抵抗し、その状況から回復し、適応する能力 |
リスク管理 |
組織の運営 (ミッション、機能、イメージ、評判を含む)、組織の資産、個人、その他の組織、国家に対する情報セキュリティリスクを管理するプログラムやプロセス。次のようなことを行います。
|
ガバナンスと監督 |
組織がサイバーインシデントを検出、予防、対応するする方法を定めるポリシーやプロセス |
サイバー計画 |
進化し続けるサイバーリスク状況に対応するために、特定の期間 (今後 5 年間など) にサイバーセキュリティ責務を実施する指針となるフレームワーク |
戦略的計画 |
企業が、戦略的な目標を達成するために必要なイニシアチブのロードマップや投資のポートフォリオを定義することによって、長期的な目標を実現する方法を定義する計画 |
サイバー担当役員の目標、職務、メリット
サイバー担当役員の目標
今日のサイバーリーダーは、会社の業務全体のセキュリティを統合し、脅威にすばやく対応し、他の上級管理職に影響を及ぼすことができる必要があります。サイバーリーダーは意思決定権限を行使して、組織のサイバーセキュリティプログラムやサイバー関連のリソースと業務のビジョンと方向性を確立します。それによってサイバーセキュリティ文化を確立し、個々の従業員がサイバーセキュリティリスクを認識し、安全な行動を実践し、組織のセキュリティプロセスを積極的に支持するようになります。
さらに、サイバーリーダーはリスクを常に把握し、組織のサイバーセキュリティに関する活動と人員の最終的な責任を持ちます。また、サイバーセキュリティ人員のリソースギャップを特定し、最小権限の法則に基づいてすべてのスタッフに対するアクセス管理プログラムを実装します。
サイバー担当役員の職務
サイバー担当役員の一般的な日常業務には次のようなものがあります。
- 組織内での上級サイバーセキュリティエキスパート、コンサルタント、アドバイザーとなる。
- 組織のサイバー活動をサポートするために、適用される法律、規制、ポリシー、標準に準拠したサイバーセキュリティのポリシーや計画を策定する。
- 法的手続きや立法手続きにおいて、組織の公式な立場を擁護する。
- 組織のニーズを満たすようにサイバーセキュリティリソースの優先順位付けと割り当てを行う。
- 組織内の経営幹部が情報とシステムに対する十分なセキュリティコントロールを特定し提供できるようにする。
さらに詳しい例を見ていきましょう。
Anjelica は国際法律事務所のサイバー担当役員です。彼女は複数の役割を兼任していて、毎日さまざまな業務を実行しています。主な職務の 1 つは、事務所の情報テクノロジー (IT) セキュリティ目標をサポートするために、経営陣からの支持、財源、主要なセキュリティ担当者などの必要なリソースを獲得して管理することです。
Anjelica は法律事務所の CFO と協力して、効果的な事業継続計画 (COOP) を開発して実装するための財源を獲得します。また、事務所の情報セキュリティの予算、人員配置、契約についてもリーダーとなって、重要なニーズを満たすための人員計画の作成などを行います。
さらに、Anjelica は、法律事務所の他の役員 (CIO など) に情報セキュリティのプログラム、ポリシー、プロセス、システム、要素のコストとメリットについて助言します。事業のサイバーセキュリティ対策を監視してその有効性を評価し、意図したレベルの保護を提供できていることを確認します。サイバーセキュリティインシデントや脆弱性が発見されたときには保護措置や是正措置も監督します。
サイバー担当役員のメリット
Anjelica は、成功するサイバーセキュリティプログラムを作成するには、適切なテクノロジーを導入するだけでは足りないことを認識しています。サイバーセキュリティプログラムを成熟させるには、他の経営幹部からの信頼と賛同を得て、組織全体でサイバー認識文化に影響を与えて促進することが重要です。
事務所でサイバー認識文化を促進するために、彼女は他の経営幹部とミーティングを行い、定期的にサイバーセキュリティの価値やそれが事務所の全体的なミッションに及ぼす影響について説明します。事務所の他の経営幹部と連携することで、組織の各所でサイバーセキュリティについての議論が促進され、すべての従業員が事務所の成功にとってサイバーセキュリティがいかに重要かを認識できます。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。次の習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応する用語の下にドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。
お疲れさまでした。
まとめ
これであなたはサイバー担当役員の用語、目標、職務、メリットについて理解できました。単元 2 では、サイバーセキュリティ担当役員の責任と、成功に役立つスキルについて学習します。
リソース
- 外部サイト: 米国標準技術局 (NIST): Cyber Resiliency (サイバーレジリエンシー)
- 外部サイト: NIST: Capability, Manage and Assess Risk (機能、リスクの管理と評価)
- 外部サイト: Center for Internet Security (CIS): Breaking the Divide Between Governance and Operational Security (ガバナンスと運用上のセキュリティの間の溝を埋める)
- 外部サイト: 米国国土安全保障省 (DHS): DHS Cybersecurity Strategy (DHS サイバーセキュリティ戦略)
- 外部サイト: Harvard Business Review (HBR): Companies Need to Rethink What Cybersecurity Leadership Is (企業はサイバーセキュリティリーダーシップとは何かを再考する必要がある)
- 外部サイト: SANS: Cybersecurity Leadership Curriculum Triads (サイバーセキュリティリーダーシップカリキュラムの 3 本柱)