“CISO(最高情報セキュリティ責任者)”の役割・導入企業・CIO/CRO/CDO、CISOの補佐役・コーポレートITなど各種セキュリティ推進部門との違い・実際のキャリアパスについて

CISO(Chief Information Security Officer/最高情報セキュリティ責任者)は、企業の情報セキュリティ活動全般を統括する上級役職です。新型コロナウイルス感染拡大に伴い、テレワークが推奨されるようになって以降、多くの企業でセキュリティ対策を進める必要が生じる中、CISOの重要性が増していると言えます。「情報セキュリティ10大脅威2021」ではテレワークといった新しい働き方を狙った攻撃が初登場3位となり、セキュリティ不安を抱える企業が多いことがうかがえるでしょう。

出典：テレワークとIT業務委託のセキュリティ実態調査、組織編の中間報告を公開｜IPA 独立行政法人 情報処理推進機構

今回は、機密情報の漏えいやセキュリティインシデントの発生を危惧する法人が増加する状況下、ニーズが増しているCISOに関し、役割や設置の増加理由、実際の導入企業、CIO/CRO/CDO、CISOの補佐役・コーポレートITなど各種セキュリティ推進部門との違い、実際のキャリアパスについて紹介します。

【目次】

1. CISOの設置の増加理由と導入企業・採用背景
2. CISOの求人内容や求められるスキル
3. CISOとCIO/CRO/CDO、CISOの補佐役・コーポレートITなど各種セキュリティ推進部門との違い\
4. CISOになるまで/なってからのキャリアパス

CISOの設置の増加理由と導入企業・採用背景

CISOは情報セキュリティ活動を担う人材のリーダーとして、サイバーセキュリティに関する状況を常時監視します。次々と生じる脅威に対して、新しいデータ保護の策を考え、セキュリティチームに指示するのも役割です。冒頭でお伝えした通り、企業のセキュリティの脆弱性が経営レベルで問題視される中、企業に迫る脅威を阻止する人材であるCISOの設置数は増加している状況です。また、ITやデジタルがビジネスにおいて絡まないことの方が少なくなる中で、CIOの役割が膨張したことから、セキュリティという側面を切り出してCISOを設置するという背景もあります。

実際の導入企業はトヨタ自動車や日立製作所、三菱UFJフィナンシャル・グループ、楽天グループなど大手から、メルカリ、ビズリーチなど新進気鋭の企業まで幅広く存在します。

CISOの設置企業は、いずれもセキュリティに対する意識が高く、昨今の社会情勢を把握してインシデントに備えていると言えるでしょう。また、DX関連のコンサルティングサービスを提供する会社では、セキュリティ案件の増加により、クライアントのセキュリティ対策のためCISOを募集するという事例もありました。自社とクライアントのセキュリティ対策を担えるほどの高いスキルを持つ人材は、今後重要視されていくと思われます。

CISOの求人内容や求められるスキル

CISOは企業をセキュリティ上の脅威から守る人材のトップに位置するため、豊富な知識と的確な判断力、冷静さ、人材の管理能力が不可欠です。有益な情報は速やかに共有しつつも、共有した相手が機密データを漏えいしないような工夫を徹底する手腕も求められます。

実際の求人を見てみると、さらに具体的できめ細かいスキルが求められることがうかがえます。あるベンチャー企業では、社内でリーダーシップを発揮しつつ、顧客データを最大限保護することが任務です。セキュリティ戦略の企画から構築、実行までを担い、セキュリティに関する教育活動を推進する旗振りも求められます。さらにセキュリティインシデントの対策だけで終わらず、万が一インシデントが発生してしまった場合の対応も取りまとめなければなりません。CEOやCOOなど他のトップ人材と連携しながら、本当に有効なセキュリティ投資戦略を考え、実行するという大きな役割が求められます。スキルとしては、手動でWebアプリの脆弱性を診断した経験や、セキュリティエンジニア・情シスエンジニアなどの経験、理想としてはISMSやSOC保証といった外部監査の対応経験まであると有利でしょうか。

別の企業では、プロダクトセキュリティのロードマップ策定から戦略企画、実行までを担う役割としてCISOを募集していました。セキュリティという全社的に重要なテーマに携わり、経営陣と折衝しながら、セキュリティ面の戦略を遂行するのが役割です。200人以上の規模の企業におけるCIOやCISO補佐の経験、エンジニアとして実際に開発をした経験は最低限必要であり、セキュリティ組織のリード経験や、情報セキュリティ・品質保証などの資格を持つとさらに有効でしょう。

また資金調達の結果、開発チームへの積極投資を目指し始めた企業では、セキュリティ・リスク低減の仕組みを構築する人材としてCISOの募集をするという事例がありました。セキュリティ関連の組織をマネジメントしただけでなく、立ち上げから携わり、CIOやCISO補佐の経験を積んでおく必要がありますが、やはり100～200名以上の企業規模での経験に限られます。さらにSASEやSSEなどといったソリューションの導入と構築の経験があると評価されるでしょう。理想としては、IT統制か内部統制(ISO27001、ISO27017、ISMAPなど)に基づき、運用した経験まであるとよさそうです。

いずれの求人でも、セキュリティ戦略からポリシーの策定、運用、社内における教育の推進が主な業務ですが、生産性向上に向けた業務効率化の旗振り役を求められるケースもあります。ITを活用して効率化のための戦略を策定し、実行、実行後の評価と改善までを求められるというものです。事業の成長に向けて、理想的なセキュリティ対策の提案とともに、論理的に考えて効率化の戦略を練り、優れたコミュニケーション能力で現場を納得させられる人材であれば重宝されるでしょう。ファームでマネジャー以上の立場から、セキュリティ関連のコンサルティングを行った経験を積んでおくと有利でしょうか。

CISOとCIO/CRO/CDO、CISOの補佐役・コーポレートITなど各種セキュリティ推進部門との違い

CISOと混同されやすいポジションとの違いについて、特に紛らわしいと思われるCIOから解説します。CIO(Chief Information Officer/最高情報責任者)は企業内のインフラやセキュリティを支えることで、経営を担う役職です。SIerのエンジニアやPMのキャリアを直接生かせるポジションであり、たとえばテレワークに必要なITツールの全社導入を任されるケースが想定できます。CISOが情報セキュリティにおける最高責任者であるのに対し、CIOは情報セキュリティを含むシステム全般を担う責任者であり、実装面に近いさまざまな業務を担い、管理します。サイバー攻撃への対応が急務の企業では、サイバー攻撃に対応するCIOと、その指揮を執るCISOを両方設置するケースが想定できるでしょう。

CRO(Chief Risk Officer/最高リスク管理責任者)は、執行役職の一種で、企業のリスク全般をまとめて管理する責任者を指します。CISOがセキュリティの企画・調査・監視を担うのに対し、CROはリスク管理を担うという違いがあります。CIO・CROはCISOと同等の立場から連携し、企業のセキュリティ対策と企業の利益創出へ貢献するのが任務です。

参考：地域金融機関における サイバーセキュリティセルフアセスメントの集計結果（2022年）｜金融庁

CDO(Chief Digital Officer/最高デジタル責任者)の役割は非常にシンプルです。CISOとは異なり、セキュリティに関する業務を推進するのではなく、社内のDX推進を中心となって実行するという明確な役割があります。DX推進を実行した経験さえあれば、採用において有利となる可能性もあるでしょう。ただし、DX推進は社内で完結せず、時には社外の技術も取り入れることが想定されるため、内外の協力者と連携できるような優れたコミュニケーション能力も求められます。デジタル化社会においてそのニーズは高まっているものの、高度な専門性が求められるため、採用のハードルは高いでしょう。デザイナー経験はもちろん、Figmaのようなデザインツールの使用経験や導入意欲がある人材、大規模な開発現場でのディレクター経験がある人材は評価されやすいかもしれません。

他にもCISO周辺、CISO直下の役割との違いについても見ていきましょう。情報セキュリティ・リスク部門の責任者という役割が設置されるケースがあります。リスクの受け入れやリスクの延期といった、セキュリティ問題のリスク処理を管理し、処理の完了まで追跡するのが役割です。情報セキュリティ・リスク部門の責任者は、サイバーセキュリティ関連の問題をしっかりと監視し、報告するまでを担うため、CISOはその報告を受けるトップリーダーと考えるとよいでしょう。

またサイバー攻撃の脅威が深刻化する中、サイバーセキュリティやITセキュリティなどの幅広い業務を担うサイバーセキュリティ企画・管理部門、経営戦略に従いセキュリティ戦略を立案して実行までを担うセキュリティ推進担当も業務自体はCISOと類似しています。セキュリティ基準を設定し、セキュリティを守る仕組みの構築が可能な人材の必要性が生じたことが採用背景として考えられるでしょう。ただしCISOは全部門を統括する責任者のため、あくまでセキュリティ関連部門はCISOやCIOなどの下に位置づけられる管理部門と言えます。

ハイレイヤーのコーポレートITも、CISOに類似した業務を担うのが特徴ですが、あくまでも企業のIT化に向けた事業全般を担う責任者であり、CISOのような役員クラスのポジションではありません。コーポレートITもCISO同様に戦略の立案を担いますが、より実行面に近い業務を、生産性の向上やパフォーマンスの最大化などに向けて担います。プログラミングといったシステム開発関連の経験や、セキュリティ監査などの経験があれば評価されやすく、コンサルティングファームでのコンサル経験がある方もチャンスはあるでしょう。

CISOだけでは対処しきれない業務がある場合や、将来のCISO育成のため、CISO補佐を募集するケースもあります。その役割は補佐役とはいえ、将来的にCISOとなるために経験しておくべき重要なものです。社内外の情報セキュリティを高度化するための管理プロセスを設計し、課題解決を推進する他、情報セキュリティマネジメントチームの教育企画や開発推進、インシデント対応などの細かい業務を担うケースもあります。実際にCISOの直下に配属され、グループ全体のセキュリティ運用を統括したり、セキュリティ関連のログを監視・分析したりする他、インシデント発生時の対応も任されることもあるようです。ある企業では、いわゆる上位のマネジャー・部長レベルの人材として、CISO直下のポジションの採用活動を行うケースがありました。グループ全体のセキュリティを守るための戦略を立てつつ、セキュリティ組織を立ち上げる役割を、CISOとともに担うものです。このように、いきなりCISOとして採用するのではなく、人材育成の観点からCISO「候補」を募集するケースもありますが、実質CISOへとステップアップするために必要な重要業務を担うことが想定できます。実際、CISO直下で情報セキュリティの推進を行う担当者というポジションでも、サイバーセキュリティ業務の経験が5年以上求められるケースもあり、入社前から高いスキルと経験が求められることは想定しておいた方がよいでしょう。

CISOになるまで/なってからのキャリアパス

A氏：
国内大学を卒業し、海外大学院を修了
→官公庁にてエネルギーや情報関連の業務に従事
→戦略系コンサルティングファームに入社し、パートナーに就任
→通信系企業に入社。M&A後の経営統合や経営管理などを担当
→同社のCISOに就任。執行役員、常務執行役員なども経て、グループ会社のセキュリティ関連企業で代表取締役CEOに就任。

通信を中心とした領域で豊富なコンサルティング経験がある方です。現場の状況を理解して、有事の際の指示も現場目線で行う必要があるとし、平時から関係者との密なコミュニケーションを心がけているようです。CISOにとっての高いコミュニケーション能力の重要性がうかがえる事例です。

B氏：
大学院修士課程修了後、テクノロジー関連の日系企業にシステムエンジニアとして入社
→インターネット関連の企業に入社し、インフラ構築や運用を担当
→セキュリティ部門の設立や、グループ全体の情報セキュリティの統括に従事
→フィンテック企業に入社し、CISOに就任。

インフラ構築から情報セキュリティ統括まで幅広く経験され、エンジニアとしての豊富なスキルを持つ方です。担当してきた豊富な経験を武器に、情報セキュリティの向上に尽力されています。サイバー攻撃が増えそうな時代の流れとともに、セキュリティエンジニア不足の状況を把握して、エンジニアという仕事の将来性を予測し、自身の道を選ばれました。高度化し続けるサイバー攻撃に対応するためには、将来を見通す洞察力や先見の明（めい）も重要と言えそうです。

C氏：
大学院修了後、弁護士登録。ビジネススクールの講師として勤務
→法律事務所での勤務や大学の講師経験を重ねたのち、インターネット関連企業に入社し、CISOに就任。

法律業界を経て、インターネット関連企業のCISOに就任された珍しい方です。セキュリティやIT統制の統括に加え、生体認証の改善度の精査などを行っています。法律の知識と経験を活かし、サイバー攻撃による事業者の被害を抑えるためのアドバイスも提供しているため、CISOは法的知識も大いに役立つポジションでしょう。

D氏：※CISOチームの総括部長
新卒で大手SIerに入社し、セキュリティ分野のコンサルティングを担当
→より専門的なセキュリティコンサルティングを行うため、監査法人に転職し、監査やガバナンスを経験
→外資系のセキュリティベンダーに転職し、サイバーセキュリティに携わる
→ベンチャーファームでCISOチームの総括部長に就任。

SIer・コンサルティングファームで、一貫してサイバーセキュリティを担当されてきた方です。役職としてのCISOではなく、CISOという1つのチームを作り上げ、リーダーとしてセキュリティコンサルを担当されています。

以上の例があります。

一般的には通信系企業やSIerでサイバーセキュリティ分野に従事されてきた方が多い印象です。一方コンサルティングファームでの経験を活かして活躍するケースとして、戦略コンサルティングファームで培った戦略的な思考やリスク管理のスキルが、CISOとしての手腕に直接役立っている事例もあるようです。ファームにおいてITサービスの領域でのコンサルティングを経験する中で、より専門的なスキルを現場で活かすためSIerに移り、M&A や経営管理などを担い、CISOに不可欠な知識をも身に付けるという流れが想定できるでしょう。

最後に、トップ人材であるCISO後のパスは、事例は少ないものの、社長やCEOへの昇格、社外取締役や顧問、同業他社/異業種のCISOなどが考えられるでしょうか。実際CEOに就任される方もいらっしゃることから、デジタル化する世界で手腕を発揮する人材は、経営において非常に重要視されている状況がうかがえるでしょう。

=================

マネジャー以上のコンサルのキャリアに関する記事

“CSO(最高戦略責任者)”の役割・CEO/COO/CFOとの違い・年収・キャリアパスについて
https://www.axc.ne.jp/media/careertips/CSO

=================

今回の記事では、企業の情報セキュリティ活動全般を担うトップリーダー「CISO(Chief Information Security Officer)」の設置背景・求められるスキル・役割(CIO/CRO/CDO、CISOの補佐役・コーポレートITなど各種セキュリティ推進部門との違い)・キャリアパスについてご紹介しました。

CISOの案件紹介や、CISOへのキャリアについてさらに詳細を知りたい方は、ぜひアクシスコンサルティングにご相談ください。

非公開求人は約77％。求人のご紹介、キャリアのご相談、企業の独自情報等をご希望の方はぜひご登録ください。

新規会員登録はこちら(無料)

※フリーランスのコンサルタント向けキャリア支援・案件紹介サービス

フリーランスの方／目指す方はこちら