特集

最新のIT技術情報や旬な話題をお届けいたします

ビジネスとITを繋げる架け橋。
CIO/CISOが果たすべき役割と、CIO/CISOになるために必要なこととは。

ビジネスとITを繋げる架け橋。CIO/CISOが果たすべき役割と、CIO/CISOになるために必要なこととは。

世界有数のITセキュリティ企業であり、PCやスマートフォン向けのセキュリティ製品や、企業向けのセキュリティアプライアンスをはじめ、統合的なセキュリティ環境の提供で知られる米マカフィー社。同社の知財やネットワークを保護する責任者として、CSO(最高セキュリティ責任者)を務めるブレント・コンラン氏に、情報セキュリティにおける最新のトレンドや、企業においてCIO/CISOが果たすべき役割についてお伺いした。

CIO/CISOとして下院の情報セキュリティ部門を統括

Q:マカフィーに入社される以前は、どういったお仕事をされていたのでしょうか?

A:CIO/CISOとして、ワシントンDCだけでなく全米900か所の地域事務所に設置されたネットワークを統括し、下院議員とスタッフすべての情報セキュリティを確保する仕事をしていました。

下院は米国政府全体の活動の資金配分を決める立場にあるため、さまざまな情報が集中しているのと同時に、世界中の国家や活動家によるサイバー攻撃の標的になっています。それに対応するのが私の主な役目でした。

下院で唯一の超党派グループとして3代の下院議長に仕えた後に、当時のマカフィー社のCEOであったデイヴィッド・デウォルトの誘いによりマカフィーに入社しました。世界有数のセキュリティ企業であるマカフィーもサイバー攻撃の主要な標的とされており、そのため、まずは下院と同様に、セキュリティオペレーションセンターを構築することから着手しました。

Q:下院では、具体的にどういったお仕事を担当されていたのでしょうか?

A:CIO/CISOとして、ワシントンDCだけでなく全米900か所の地域事務所に設置されたネットワークを統括し、下院議員とスタッフすべての情報セキュリティを確保する仕事をしていました。

下院は米国政府全体の活動の資金配分を決める立場にあるため、さまざまな情報が集中しているのと同時に、世界中の国家や活動家によるサイバー攻撃の標的になっています。それに対応するのが私の主な役目でした。

下院で唯一の超党派グループとして3代の下院議長に仕えた後に、当時のマカフィー社のCEOであったデイヴィッド・デウォルトの誘いによりマカフィーに入社しました。世界有数のセキュリティ企業であるマカフィーもサイバー攻撃の主要な標的とされており、そのため、まずは下院と同様に、セキュリティオペレーションセンターを構築することから着手しました。

特定企業を対象にしたサイバー攻撃の脅威が、現実的なものに

Q:ここ数年において、情報セキュリティを取り巻く情勢はどのように変化しているのでしょうか?

A:下院やマカフィーだけが特別なのではなく、いまやすべての企業がまったく同じハッキングの脅威に直面しているといえます。

ネットワークが世界の主要なインフラとなったいま、企業の知財をハッキングから保護することが、かつてないほど重要になっています。10年前であれば「なんでそんな情報を欲しがるのか?」と言われていたようなデータが重要な意味を持つようになり、ハッキングの対象となっているのです。同時に、企業の知財を盗み出すことを目的とした、職業としてのハッカーも登場しています。

また、政治的な主張を目的としてハッキングを行う「ハクティビスト」の活動についても留意しなければなりません。これまでは不満を抱いた人が抗議をする主要な方法は、デモでシュプレヒコールをあげるといったものでしたが、近年ではハッキングやDoS攻撃を政治的な抗議手段として用いる例が増加しています。

Q:情報セキュリティの分野において、どのような技術トレンドに注目されていますか?

A:エンタープライズの分野だけでなく、コンシューマの分野においても、「ホワイトリスト化」が進むのではないかと考えています。たとえば現在、約5万種類ものマルウェアが存在していますが、それらすべてに対して有効なアプリケーション(セキュリティ対策)は存在しません。そのため、従来のブラックリスト方式では脅威に対応できなくなりつつあります。
もうひとつの注目すべきポイントが、iPhoneやブラックベリーといったスマートデバイスの爆発的な普及ではないでしょうか。かつて仕事といえばデスクに縛られるものでしたが、これらの普及によりオフィスの外で仕事をする人が増えており、その結果、企業にとって新たなセキュリティ上の課題となっています。

Q:では企業において、いまもっとも注意すべき情報セキュリティ上のリスクとは何でしょうか?

A:特定の企業をターゲットとしたAPT(Advanced Persistent Threat)攻撃は現実のものであり、実際の攻撃を想定し、これに対抗する戦略を立て、情報システムのアジリティを高める必要があります。幸いなことに、APT攻撃に対抗するテクノロジーも進化を続けています。たとえば仮想化技術を応用すれば、攻撃対象となったサーバをシャットダウンし、1秒以内に別の場所のサーバへと切り替えることができます。

Q:情報セキュリティに配慮したシステムを構築するうえでは、上記のアジリティに加えてどのような点が重要になるのでしょうか?

A:システムの機密性、健全性、可用性の3つがポイントといえます。
たとえばオンラインバンキングの場合は、接続しているWebサイトが本当に銀行のものであることをエンドユーザに保証できることが重要です。また取引内容が正確であり、いついかなる場合でもシステムを正常に利用できることが主要なニーズとなります。

Q:コンランさんご自身、情報システムの未来はどのようなものになるとお考えでしょうか?

A:IPv6への移行により冷蔵庫からヘアドライヤー、ガレージのドアに至るまであらゆるものにIPアドレスが付与され、ネットワークに接続されるのではないでしょうか。遠からず、外出先からスマートデバイスを利用して、消し忘れたアイロンのスイッチを切るという時代が来ることでしょう。

また、インターネットで人と人がつながることが標準的になれば、ビジネスのグローバル化が進み、日本にいながら米国の企業で働くことが可能になるかもしれません。とはいえ、すべてが接続されることは大きな力であるのと同時に、大きなリスクを伴います。

Q:そうなると、マカフィーがアイロンに対応したセキュリティプロダクトを提供する日が来るかもしれませんね。

A:もちろん(笑)。ネットワーク化されるということは、そこにセキュリティの問題が発生するということでもあります。実際にマカフィーでは、組み込みシステムに対応したプロダクトにも力を入れています。

企業においてCIO/CISOの果たすべき役割とは

Q:日本の企業文化においてCIO/CISOという役職はあまり馴染みがありませんが、具体的にどういった役割を担っているのでしょうか?

A:これまで企業がITを導入するにあたっては、コストのみが重視される状況にありました。つまり、実質的にビジネスとITが切り離されていたわけです。CIO/CISOという、役員レベルでビジネスとITを取り持つ役職が企業に加わることで、初めてビジネスの意思決定においてIT部門の人間が参加することとなります。これはビジネスにおいて大きなアドバンテージであり、ITをベストな形で利用することを可能にすると言えます。

かつて電話とフリップボードだけで仕事をしていた経営者の多くは、会社の2~4割にも達する巨額の資金をITに投じるにあたり、「本当にITが必要なのだろうか?」という疑問を持っています。この疑問に対し、ビジネスとITの両方の側面から、きちんと説明することがCIO/CISOの主な役割です。企業のビジネス全体において、ITをどのように活用するのかという戦略を立てるうえで、CIO/CISOというポジションは欠かせません。また、経営陣が何を望んでいるのか、をIT部門の人間に伝える役回りも担っています。ですが、これは決して簡単なことではありません。経営陣にとっても、IT部門にとっても変化とは辛いものですから。

Q:CIO/CISOといった、企業の情報化戦略を立案・実行できる人材を育成するために、企業はどうすべきでしょうか?

A:CIO/CISOとなるためには様々な分野の経験が必要となります。具体的にはネットワーク、データベース、サーバ、アプリケーションなどすべての知識を水平的に網羅する必要があるでしょう。逆に、特定のことに関する知識しかないようでは、 CIO/CISOは務まりません。
さらに予算編成やポリティクス(社内的な駆け引き)といった、ビジネスの言語にも通じていることが欠かせません。これはOSI参照モデルにおける7つのレイヤーに、さらに2つのレイヤーが加わったようなものです。これらの知識は経営陣の一員となるためには、欠かせないものです。
そのためCIO/CISOを目指す場合は、様々なことを経験するように努力し、スペシャリストではなくゼネラリストとなる必要があります。米国では、大学に戻ってMBA(経営学修士)を取得する人が多いですね。私自身は、複数のコンサルティング会社に勤務し「ITにおける成功の手法が1つではない」ということを学んだ経験が大きかったといえます。

とはいえ特定の企業に所属する人が、他社の手法を学ぶということは現実的に難しいでしょう。そこでお勧めなのが、ISC(Internet Systems Consortium)などのNPOや業界団体に加盟することです。これらに参加することで、ITに対するさまざまな枠組みを理解できますし、他社のIT担当者とのネットワークを構築することができます。

Q:最後に、非常に忙しいお立場かと存じますが、仕事と私生活を両立させるうえで、どのようなライフスタイルを重視していらっしゃいますか?

A:24時間365日、いつでも対応しなければならないのがCIO/CISOという仕事の宿命だと思います。だからといって常に「オン」であれば、寿命が40歳くらいになってしまいますよね(笑)。

また24時間体制で仕事をしていると、次々に出てくる問題を戦術レベルで解決することに追われ、戦略レベルでの思考が失われてしまいます。そのため私自身も定期的にシャットダウンして、趣味のトライアスロンに打ち込んだり、家族と接する時間を大切にしたりするように心がけています。

時間をとって物事を考える方が、最終的にはいい成果が生まれる場合が多いと思いますよ。日本のITに携わる皆さんもぜひ、時には「オン」と「オフ」の切り替えを大切にしていただくと良いと思います。

※OSI参照モデル:国際標準化機構(ISO)により制定された、異機種間のデータ通信を実現するためのネットワーク構造の設計方針「OSI」(Open Systems Interconnection)に基づき、コンピュータなどの通信機器の持つべき機能を階層構造に分割したモデル。通信機能を7階層に分け、各層ごとに標準的な機能モジュールを定義している。「OSI基本参照モデル」「OSIモデル」などとも呼ばれる。

いつか見た景色 from Staff's Albums