最高情報セキュリティ責任者(CISO)は、企業の安全性とサイバーセキュリティの面で非常に重要な役割を担いますが、小規模企業の中には、経費削減のためにバーチャルCISO(vCISO)の導入を検討する企業もあるかもしれません。Thriveの最高技術責任者(CTO)であるマイケル・グレイ氏は、この2つの役職を比較し、この職種への投資を検討している企業向けにその違いを解説しました。
バーチャルCISOとは、CISOの役割を果たすものの、フルタイム雇用ではない、独立した従業員または契約社員です。バーチャルCISOは、通常CISOが行うような意思決定を行いますが、その役割は会社全体の役割と本質的には絡み合っていません。
「まず、一見すると(vCISOは)CISOと非常に似ているように見えるかもしれませんが、細かく見ていくと、非常に大きな違いがあります」とグレイ氏は述べた。「時間をかけて見ていくと、企業が強固な基盤の上に構築された優れたセキュリティプログラムを構築すれば、多くの企業では部分的なvCISOだけで済むことがわかります。つまり、最初の演習を終えれば、専任のvCISOは必要なくなります。組織の規模によっては、正直言ってフルタイムの仕事ではないのです。」
vCISOを採用するメリット
中小企業にとって、収益を節約するためには、vCISOの採用が有効な手段となるかもしれません。フルタイムのCISOはかなり高額な報酬を得るため、新興企業では必要のないサービスに頼る余裕がないかもしれません。米国のフルタイムCISOの平均年収は23万223ドルで、中小企業にとっては現実的ではないかもしれません。
「従業員数が500人、あるいは1,000人程度の企業であれば、専任のCISOは必要ない可能性が高いでしょう。バーチャルCISOを活用すれば、多額の費用をかけずに、必要なメリットをすべて享受できます」とグレイ氏は述べた。「専任CISOの給与は現時点では驚くほど高く、優秀な候補者もほとんどいません。候補者は見つかるかもしれませんが、その人があなたの業界や業種について全く理解していない可能性もあります。」
これを財務面と運用面の両方から相殺するため、独立した仮想CISOは、既存のビジネスプロセスと進行中のビジネスプロセスを分析し、既存のビジネスインフラに基づいて意思決定を行います。グレイ氏によると、これによりvCISOは必要に応じて難しい決断を下すことができます。なぜなら、vCISOの成功は契約先の企業だけに左右されるわけではないからです。これにより、vCISOの役割を担う人々は、意思決定においてより客観的な立場に立つことができるのです。
「独立した[バーチャル]CISOがいると、『こういう問題はしょっちゅう目にしている。貴社のセキュリティ監視サービスは効果がなく、投資に見合う成果を上げていない』と言えるでしょう」と彼は言います。「しかし、特に小規模な企業では、専任のCISOがそれを把握するのは難しいかもしれません。もう一つの点は、少なくとも私たちの見方では、バーチャルCISOは既存の投資からより多くの価値を引き出すお手伝いをしてくれるということです。CISOはセキュリティ技術に投資し、個人的にもその技術に深く関わっているかもしれませんが、多くの時間を費やすことになります。そして最終的には、それが最適なソリューションではないと判断されるのです。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
企業がvCISOの導入を支援する方法
仮想CISOの採用を検討している中小企業にとって、適切なインフラを整備することで、仮想CISOは入社直後から業務に着手できるようになります。企業のサイバーセキュリティ体制を現状把握することで、仮想CISOはすぐに業務を開始できます。
「当社は既に第一段階として、単なるテクノロジーではなく、セキュリティプログラムの必要性を強調しています」とグレイ氏は述べた。「まず最初にお伺いしたいのは、何かありますか? 現在のセキュリティプログラムの内容は? 何か文書はありますか? 現状を大まかに把握しておきましょう。なぜなら、誰もがまず最初に尋ねるのは、何か始められるものはありますか? ほとんどの企業はそうではないでしょう。それはそれで構いませんが、この質問にすぐに答えられるのは本当に素晴らしいことです。」
そこから、グレイ氏は、発生する可能性のあるコンプライアンス関連の質問に対処するとともに、会社のリスクを評価することが重要な考慮事項であると述べています。
「私が尋ねるのは、『お客様、初日から知っておくべき、貴社が遵守すべきコンプライアンスフレームワークはありますか?』です。もし『ええ、あるかもしれませんが、よく分かりません』と言われたら、それは難しい問題です」と彼は述べた。「3つ目のポイントは、リスクに関する話し合いです。リスクの観点から、組織がどこまで許容できるかを考えてみてください。私たちは100%のロックダウンを望んでいますが、従業員に対して非常に厳格な環境を望んでいます。それとも、従業員がスマートフォンで仕事をするなど、そういったことを許容していますか?これらはすべて、入社前に自問自答できるビジネス上の質問です。」
このアドバイスに従うことで、仮想 CISO の役職に就く人材の採用を検討している中小企業は、何を求めるべきか、候補者が組織のシステムを完全に保護できるまでの時間も把握できます。
