ITpro編集長 兼 日経ITイノベーターズ編集長
「どこまでやれば合格点がもらえるのだろうか。理想的なセキュリティ対策の方法があるのなら、それを実現して少しでも安心したい」――。情報セキュリティの議論になると、企業のCIO(最高情報責任者)やシステム部長から、必ずこんな本音が聞かれる。
多くの企業を悩ませ続ける情報セキュリティ対策。このテーマを巡って、記者が関心を持っているのは、「CISO(最高情報セキュリティ責任者)」についてだ。経済産業省は、企業内に情報セキュリティ分野を統括する責任者「CISO」を置くべきであると指摘している。
「CISOは必要だと思いますか?」。こんな素朴な疑問を、日経ITイノベーターズが2016年3月に開催したイベントで出席者にぶつけてみた。
その結果、「必要」が7割、「不要」が3割だった。アンケートに答えた出席者は、著名企業のCIOやCMO(最高マーケティング責任者)、CTO(最高技術責任者)などを含む約190人のビジネスパーソンである。
「CIOとCISOの責任を切り分けるのは難しく、分けると意見が対立する可能性もあることなどから、CIOがいればCISOは不要」(大手製造業のCIO)。こうした指摘があるものの、多くがCISOの必要性を感じている。
企業が、CIOとは別にCISOを置いたとしよう。「守りのIT」の代表であるCISOと、「攻めのIT」の推進が求められているCIO。利害が対立しそうに思えるCISOとCIO、どちらが上位の役職であれば、物事が円滑に進むのだろうか。要はCISOとCIO、どっちが偉いのか。
