Daisukeさんて情報セキュリティ責任者になってますけど普段どんな仕事をしてるんですか?
毎日会議したりセキュリティの講習会したりとか?
いやいや、そんなことないよ。
普段は会社の本来の仕事をしてて情報セキュリティの仕事なんてそんなにたくさんしてないよー。
というわけで今回は中小企業の情報セキュリティ責任者(CISO)が普段どんな業務をしているかご紹介します。
簡単に自己紹介をすると、私は30人程度の中小企業のCISOをやっていルのですが情報セキュリティにかかわっている時間は日常業務の1割程度です。
今回は情報セキュリティ責任者(CISO)が年間を通して何をしているのかを3つのお仕事に分けてご紹介します。
- 年間スケジュールで決まっているお仕事
- 日々の業務中行っているお仕事
- 突発的に発生するお仕事
併せて、これから情報セキュリティ責任者を目指す方に向けて
- 情報セキュリティ責任者に向いている人
- 情報セキュリティ責任者に必要なスキル
についても紹介していきます。
群馬県在住40代サラリーマン
転職して東京の大企業で講師を務めつつISMS運用にも携わる。- インフラSEから講師へキャリアチェンジ
- 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
- ISO27001(ISMS)導入
- テレワークなどクラウドを利用してのサービス導入に携わる
- 資産管理ツールやクラウドセキュリティなど導入実績多数
- 情報セキュリティマネジメント保有
- 情報処理安全確保支援士取得
情報セキュリティ責任者(CISO)のお仕事
- 年間スケジュールで決まっているお仕事
- 情報セキュリティ会議
- 社内教育の実施
- 文書の作成、見直し
- 内部監査のフォロー
- マネジメントレビュー
- 外部監査の対応
- 日々の業務中行っているお仕事
- 情報セキュリティに関する情報の入手
- 内部外部コミュニティからの情報収集
- 突発的に発生するお仕事
- 情報セキュリティインシデント発生時の対応
- 緊急で対応が必要な制度への対応
結構大変ですね……
といっても、ほとんどは年間スケジュールで調整しているから忙しいのは内部監査〜外部監査の時期くらいで、あとは日常業務のスキマ時間にうまくやってるよ。
私の場合情報セキュリティの管理者(責任者)となっているので、実際のセキュリティにかかわるシステムの構築や設定はしていません。
このあたりが情報セキュリティ責任者(CISO)と情報セキュリティエンジニアの差かもしれませんね。
1人でCISOとセキュリティエンジニアの業務を行うのはとても大変です、社内SEがいるようであればエンジニア業務は社内SEが担当したほうが良いでしょう。
実際情報キュリティを構築していく上で大変だったことをまとめている記事がありますので是非ご覧ください。
それでは実際の業務内容を詳しくご紹介します。
年間スケジュールで決まっているお仕事
これはISMSの年間スケジュールに記載されているお仕事ですね。
大体いつ頃やるお仕事なのかは決まっていてそのスケジュール通りに動いていきます。
- 情報セキュリティ会議
- 社内教育の実施
- 文書の作成、見直し
- 内部監査のフォロー
- マネジメントレビュー
- 外部監査の対応
情報セキュリティ会議
私の勤務する会社では年2回実施することになっています。
期の終わりとちょうど真ん中で会議をおこっていて、期の終わりの会議では今期の振り返りと来期用の文書を作成し
真ん中の会議では、半年間での状況の変化やリスク対応などの進捗を確認しています。
社内教育の実施
ISMSでは教育を実施することが規定されています。
内容については自社の情報セキュリティポリシーによって違いますが、外部講師を招いての教育や、自社で作成した資料を使っての教育など、方法は決まっていないため、各社独自の方法で教育をしていきます。
私勤務する会社では取引している企業で提供しているe-Leaningをつかって教育をしています。
教材が無い場合まは有料のサービスを契約するか、自分で作るしかありません。
個人的にはLRM株式会社のSeculioがおすすめです。
会社の人数にもよりますが、ベーシックプランで1人当たり150円/月と非常に安く提供しています。
文書の作成・見直し
ISMSの関連文書の作成と見直しです。
基本的な文章は導入当初からほとんど変更はありませんので、リスク対応計画書や年間スケジュールの作成。
情報セキュリティに関するハンドブックなどを作っている場合はそちらの見直しもする必要がありますね。
文書の管理は大変そうですね。
変更すると変更履歴をとったり、どの文書が最新なのかわからなく習いように日付の変更をしたり、その辺が大変かな?
文書管理については外部監査前に確認すべき項目をまとめた記事の中に記載されています。是非ご覧ください。
内部監査のフォロー
内部監査の前に重点的にチェックして欲しい項目や、新たに変更されたルールを伝えて内部監査計画に入れてもらいます。
内部監査中は特にCISOのお仕事はありませんが、内部監査が終わって指摘や不適合が出た際にはCISOも必ずチェックするようにしましょう。
内部監査については効果的に実施できるようまとめた記事があります、是非ご覧ください。
マネジメントレビュー
前回の外部監査や今期実施した内部監査、その他指定の情報を持って経営者に報告をするのがマネジメントレビューです。
この際にISMSが有効的に機能しているか、や経営者からの改善の要否が決定されます。
外部監査前には
- 内部監査
- マネジメントレビュー
は必ず実施しておく必要があります。
未実施の場合は外部監査に通らずISMSを継続することができません、必ず実施するようにしましょう。
外部監査の対応
年間通してのメインイベントを言っても過言では無い外部監査の対応です。
ここで一年間運用してきたISMS業務が評価されるため、かなり神経を使います。
と言っても普段からきっちり運用ができていれば特に困ることもないでしょう。
従業員30名程度であれば、継続審査(3年に1回)で2.5日、サーベイランス審査(1年に1回)で1.5日程度です。
ここを乗り切るとやっと1年が終わった感じがしますね。
ほんとその通り、外部監査の1週間前くらいになると心配で夜しか寝られないよ。
……。
外部監査1ヶ月前〜1週間前くらいまでに確認しておくべき項目をまとめた記事があります、是非ご覧ください。
日々の業務中行っているお仕事
続いては年間スケジュールの載せていない日々の業務中に行っている仕事内容のご紹介です。
といっても毎日何かする、というわけではなく、少し気にしておく程度のお仕事ですね。
- 情報セキュリティに関する情報の入手
- 内部外部コミュニティからの情報収集
情報セキュリティに関する情報の入手
情報セキュリティは日々進化しています。
パスワードは定期的に変更するものだったのに、ある日突然定期的な変更を推奨しないことになった。
なんてこともありました。
昨日までの常識が今日から非常識になってしまうくらいの急激な変化があるため、日常の情報収集は欠かせません。
と言っても特別なことをするわけではなく。
などが発信する情報を何かあったときに確認するくらいで大丈夫です。
普段からYahooニュースなどをみていれば情報セキュリティに変化があったときになんとなく気づくと思います。
念のため情報セキュリティ会議や内部監査などのイベント前にチェックしておけば完璧でしょう。
ISMSの規格JIS Q 27001:2014(ISO/IEC 27001:2013)が改訂され、2022年10月25日に ISO/IEC 27001:2022 として発行されました。
詳細はISMS.jp内にてご確認ください。
内部外部コミュニティからの情報収集
社内外での会議やミーティングからの情報収取も大事なお仕事です。
- 部署長会議
- 各組織部門での会議
- その他社内での会議
など、さまざまなコミュニティからも情報収集をしていきます。
例えば
- セキュリティソフトが新しく導入される。
- 基幹の業務アプリが変更になる。
- OSのアップグレードにともない社内PCの入れ替えがある。
- 社内の組織変更がある。
一見ISMSと関係ないような情報も、ときには重大なルール変更や、情報セキュリティ面で問題がないか確認しなければならないことがあります。
とくに閉鎖的な風潮がある会社では必要な情報がCISOに回ってこないこともあります。
私が実際に経験した困ったことをあげると
- セキュリティソフトのオプションでEDRを導入することがいつの間にか決まっていた。
- 会社の大きな組織変更があった。
- ペーパーレス推進のため社内で開発業務を始めていた。
どれも担当する組織の責任者があまり外部に情報を出したがらない社員で、私が情報を知ったタイミングも導入が決まった後に他の社員と同時にお知らせが届いたような状況でした。
内容によっては早急にガイドブックやインシデント報告のルールを変更しなければならないものもあるため、特に社内での情報伝達が活発ではない会社では、CISOが能動的に情報を入手する必要があります。
聞いてないから知らない、聞いてないから何もしていない、はCISOには通用しません。
CISOなら部署長の会議などに参加してもよさそうですけど……
参加したいっていう話はしたことがあるんだけど、認められなくてね。
そんなこと知らなくてもいいって言われたこともあったよ(泣)
突発的に発生するお仕事
最後突発的に発生するお仕事です。
これはない方がいいのですが、どうしても早急に対応しなければならないこともときにはあります。
- 情報セキュリテインシデント発生時の対応
- 緊急で対応が必要な制度への対応
情報セキュリティインシデント発生時の対応
一つ目は情報セキュリティインシデントがあった際の対応です。
普段からルールを守っていればそんなに頻繁には起こらないのですが、最近ではEMOTETなどが流行ったため、私の勤務する会社でも感染疑惑となったインシデントが発生しました。
EMOTETなどのマルウェアは感染疑いのPCだけではなくネットワークを介して感染するため、どこかでEMOTETが見つかった場合はネットワークにつながっているPCやサーバー、全てチェックする必要があります。
社内にシステム管理者がいれば作業自体は丸投げできますが、報告書の作成や今度の対応方法、お客様に被害があった場合はお客さまへの報告など、やらなければならないことはたくさんあります。
USBメモリを紛失して個人情報でも入っていたら大変ですね。
個人情報がからんだ情報セキュリティ事故は毎月何回も発生しているし、報告する義務があるらもしおこったら大変だね。
CyberSecirity.comに事故の情報が掲載されています。個人情報漏洩事件・被害事例一覧
緊急で対応が必要な制度への対応
これは滅多にないのですが、最近あった事例が「お客様から現状のルール以上のセキュリティポリシーの策定を要求された」です。
該当の業務の情報は鍵付きのラックに保存する、データは業務終了後に必ず破棄する、など現状では規定されていないルールを要求されることがあります。
この場合、要求に添えない場合仕事を受けることができなくなってしまうため早急な対応が求められることがあります。
とりあえず業務的にはこのくらいですか?
そうだね、このくらいなら本来の業務と並行してもなんとかなるね。
会社の繁忙期を重なったりすると大変ですね。
1回だけ毎日残業、毎週休日出勤のタイミングで外部監査があって、その時は本当に大変だったよ。
ただ、私だけじゃなくて関わっている社員がみんな忙しかったからね。
なんとか頑張れたよ。
情報セキュリティ責任者に向いているひと
この仕事は向いている人向いていない人の差がはっきり出てくると思います。
情報セキュリティ責任者(CISO)に向いている人は
- 責任感がある
- 忍耐力がある
- 新しい技術やルールについて興味がある
- リーダーシップがある
こんな感じの人ですね、CISOにこの4つがなければ、いつまでも古臭いセキュリティを使って社員が誰もルールを守らない。
そんな会社になってしまいます。
責任感がある
情報セキュリティ責任者というだけあって、責任感がないと務まりません。
スケジュール通りに計画を進めたり、必要な制度を整えたりとCISOの仕事は「やらなくてもいい」というものがない。
CISOはメンバーをまとめる役割もあります、責任感のない人にメンバーはついてきませんよね。
忍耐力がある
役員含む社員全員にルールの伝達や、教育、そしてインシデントへの対応など生半可な気持ちではCISOは務まりません。
「何がなんでもやりきってやる!」そんな忍耐力が必要です。
Daisukeさんも導入時はかなり大変だったみたいですね。
ストレスで体を壊したり、精神的に不安定になったりしたこともあったよ。
ある程度対処方法がわかったんで、今は全く問題ないんだけどね。
CISOとして情報セキュリティを導入した際に苦労した上司への教育についてまとめた記事があります、是非ご覧ください。
新しい技術やルールについて興味がある
日々進化する情報セキュリティについていくためには、新しい技術やルールへの興味が不可欠です。
「現状のままでいいや」と制度やルールを時代にあわせて更新していかないとリスクはどんどん高くなっていきます。
常に新しい情報を入手し、新しい技術に対しての興味がある。という人はCISOに向いているでしょう。
リーダーシップがある
情報セキュリティ事務局だけではなく会社全体を引っ張っていくにために不可欠なのがリーダーシップ。
特にインシデント発生時などは部署をまたいだ対応が必要なこともあり、全社員からの協力が必要になることもあります。
CISOが1人で頑張っていてもインシデントの解決にはなりません。
会社全体で協力して問題への対応ができるよう、CISOは他の社員からの信頼を高めていきましょう。
どれも責任者として仕事を遂行する上で必要なことです。
情報セキュリティに限らず『人の上に立つ』という意識で仕事ができれば何も問題はないでしょう。
責任感もなく、忍耐力もない、そしてリーダーシップもない人に誰もついてこないですよね。
滅多にいないけど、全部持ち合わせてない人もいるから困ったものです……
情報セキュリティ責任者に必要なスキル
続いてはCISOに必要なスキルです。
これからCISOを目指す方は習得が必須です、少しずつでも良いので習得に向けて頑張っていきましょう。
- セキュリティに関する知識や実用するための技術
- コストや人材活用など経営面での知識
- 内部外部コミュニケーション力
セキュリティに関する知識や実用するための技術
CISOになりました、WAFもEDRもわからない。それどころかファイアウォールって何?では話が進みません。
形だけの役職ではなくCISOにはそれ相応のスキルが求められます。
情報セキュリティに関する深いところまで知識を深め、その知識をどのように実用化するのか、までまとめられれるようにしておきましょう。
コストや人材活用など経営面での知識
情報セキュリティを運用していくにあたっては、システムの導入にかかるコスト、それを運用していくにあたっての人材活用、そして会社全体の基本方針や目標の策定など経営面での知識が求められることもあります。
お金のことは経営者が考えるからいいや、ではなくコストや人材活用などの面でも自らが主導できるよう知識を深めておく必要があります。
内部外部コミュニケーション力
CISOにはコミュニケーション能力も必要です。
社内で組織内部の情報はもちろん、取引先や社会情勢など能動的に得ていかなければならない情報がたくさんあります。
そんな中、社内では大きい顔をしているが社外に出ると借りてきた猫のようになってしまう人や、社内でも常に受け身で情報を得ている人は、CISOに向いていません。
周りからウザがられるくらいに情報を取得するために、自ら動いていけるような人が向いています。
スキルを身につけるためには?
CISOになるためには下記ステップが一般的です。
- 自らがもつセキュリティについての知識をつかいシステムの導入や運用に携わる。
- CISOの指示のもと情報セキュリティについて議論をしてセキュリティエンジニアへの指示ができる。
- 自社の情報セキュリティについて内容を決定し、それに伴う組織の運用を指示することができる。
CISOになるためには、エンジニアから担当者になり、そしてCISOに選ばれる必要があります。
実際の運用については業務に携わりながら自ら学習していきますが、スキルレベルのわかりやすい指標として資格があります。
セキュリティエンジニアやメンバーにおすすめの資格
セキュリティエンジニアや情報セキュリティ担当者におすすめの資格は「情報セキュリティマネジメント」です。
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。
IPA
情報セキュリティについての基礎知識を持っていることを証明する資格です。
基礎部分を幅広い範囲で学習ができ、何かあったときの引き出しになるため取得しておくと良いでしょう。
合格率は最近低下気味ですがおおよそ半分の受験者が合格してます。
合格は独学でも可能ですが、不安な方はオンライン講座などで勉強してもよいでしょう。
情報セキュリティ責任者(CISO)におすすめの資格
CISOにおすすめの資格は「情報処理安全確保支援士」です。
サイバー攻撃の増加・高度化に加え、社会的なIT依存度の高まりから、サイバー攻撃による社会的脅威が急速に増大しています。すなわちサイバーセキュリティ対策は、経営リスクとして、そして社会的責任として、非常に重要な課題になりつつあり、その責任を担える人材の確保が急務となっています。この人材の確保のために2016年10月に「情報処理の促進に関する法律」が改正され、新たな国家資格が誕生しました。これが「情報処理安全確保支援士(略称:登録セキスペ)」です。
IPA
情報セキュリティについて経営面での考えができるレベルまで知識を引き上げた資格で、情報処理安全確保支援士試験に合格して申請をすると情報処理安全確保支援士を名乗ることができます。
といっても専有業務はないので「情報処理安全確保支援士」しかできない業務はありません。
昔は各社に1人いれば十分だったようですが、最近はその会社に情報処理安全確保支援士が何人いるか、でセキュリティレベルを計る風潮になってきています。
登録や継続するための研修にお金がかかるので、個人での維持は大変かもしれませんが、会社のCISOであれば会社からお金は出してもらって維持していきましょう。
情報処理安全確保支援士は近年需要が高まっているので維持費用を出してくれる会社はたくさんあります。
情報処理安全確保支援士を持っていれば転職にも有利になります、もし会社が維持費用を出してくれないのであれば、転職を検討しても良いですね。
エンジニア求人専門の転職サイト【paiza】まとめ
今回は、情報セキュリティ責任者(CISO)の仕事として。普段行っているお仕事。
情報セキュリティ責任者(CISO)のお仕事
- 年間スケジュールで決まっているお仕事
- 情報セキュリティ会議
- 社内教育の実施
- 文書の作成、見直し
- 内部監査のフォロー
- マネジメントレビュー
- 外部監査の対応
- 日々の業務中行っているお仕事
- 情報セキュリティに関する情報の入手
- 内部外部コミュニティからの情報収集
- 突発的に発生するお仕事
- 情報セキュリティインシデント発生時の対応
- 緊急で対応が必要な制度への対応
と、CISOに向いている人、CISOに必要なスキルをご紹介させていただきました。
これからの時代情報セキュリティに関する業務が増えてきそうですね。
セキュリティエンジニアはもちろん、管理するスキルを持った担当者やCISOの需要はどんどん高くなっているね。
他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。
コメント