WithSecure(ウィズセキュア)は、フィンランド・ヘルシンキにおいて「Sphere 2023」を5月24日~25日の2日間にわたり開催した。本稿では、WithSecure CISO(Chief Information Security Officer:最高情報セキュリティ責任者)のChristine Bejerasco(クリスティン・ベヘラスコ)氏の話を紹介する。
求められるCISOの役割
司会者に紹介され、登壇したベヘラスコ氏は「あなたの組織での役割は何ですか?分野としてのサイバーセキュリティはまだ未熟であったり、あまり広く理解されていなかったり、CISOがいなかったりするので、何でもありの状態です。もちろん、この立場はかなり新しいものです」と、冒頭に述べた。
こうした何でもありの状態の要因としては、組織が抱える脅威に対して利用しているソリューションやサービスは、ともすれば技術的なボキャブラリーを使う傾向があり、経営陣を遠ざけている向きもあると同氏は語っている。
そのため、同氏は「私たちが行っていることを理解してもらう必要があるのです。しかし、特に組織のサイバーセキュリティ・プログラムがまだ未成熟である場合には、CISOの役には立ちません」と断言する。
なぜなら、CISOは組織のさまざまな層への理解を深め、サイバーセキュリティ・プログラムが実行されていることを確認する必要があるため、さまざまな層に対応したモデルの作成がポイントになるという。