CISOの仕事とは？ 最高情報セキュリティ責任者（CISO）は、組織のサイバーセキュリティポリシー、プラクティス、およびアーキテクチャを定義し、実施する責任を負う組織内の人物である。 CISO の職務は、従業員の電子メールの使用方法から、閲覧可能な Web サイト、重要な文書の保管方法まで、組織内のあらゆるプロセスに何らかの形で影響を与えます。

しかし、社内の組織図に加える CISO を見つけることは、控えめに言っても困難です。 CISOの職務要件を満たせる有資格者は稀である。

CISO の職務内容に固有のタスクを理解し実行できる人材を求める競争は激しく、企業はこうした人材を獲得するために、最高水準の給与に加え、さまざまな特典を提供しなければならないことがよくあります。 しかし、企業のサイバーセキュリティ・プログラムを管理するために、従来の社内CISOを雇うという方法もある。 Cレベルのサイバーセキュリティ専門家をヘッドハンティングする代わりに、バーチャルCISOのプログラムやサービスを利用するのです。

バーチャルCISO（VCISO）とは何ですか？ 仮想CISOの雇用コストは？ VCISOを採用するメリットは何ですか？

バーチャルCISOとは？

バーチャルCISOとは、マネージドセキュリティサービスプロバイダ（MSSP）が提供するサービスで、最高情報セキュリティ責任者の職務（組織のサイバーセキュリティ方針の作成と管理）を複製し、効果的にその役割をアウトソーシングするものである。

社内CISOは通常、企業内の高位な人物1人ですが、VCISOサービスは通常、仮想CISO専門家のチームによって提供されます。

VCISOはどのように組織を守るのか

バーチャルCISOサービスは、企業の重要なセキュリティ問題に対して専門家のアドバイスを提供し、サイバーセキュリティ・アーキテクチャを改善するのに役立つ。 仮想 CISO の責任には、次のようなタスクが含まれます。

• 侵入テストの実行、
• 重大なセキュリティ欠陥を積極的に特定、
• セキュリティ方針と手順の改訂を支援、
• 主要規制（HIPAA、PCI DSS、GDPR など）への準拠を可能にすること、など。
• Creating and implementing incident response plans (IRPs); and
• Reviewing all existing cybersecurity tools and making recommendations for replacing or reinforcing.

社内CISOと同様に、VCISOにはコストとパフォーマンスの影響を最小限にしながらサイバーセキュリティを最大限にすることが求められています

バーチャルCISOとは何でしょうか。

バーチャルCISOとは？ その答えは、「どのようなVCISOサービスを必要とするかによります」。 すべての企業がVCISOから同じレベルのサービスを必要とするわけではないので、コストは異なるかもしれません。

CSO Onlineが取り上げたVCISOコストの経験則の1つは、「VCISOは常勤CISOの30%から40%のコストと推定される」と述べています。 しかし、これはあくまで概算であり、実際のコストとは必ずしも一致しません。

バーチャルCISOサービスを調査する際には、コストを比較できるようにMSSPから特定の見積もりを集めることが重要ですが、VCISOサービスを見る際に考慮すべき基準はコストだけではありません。

バーチャルCISOを雇うメリットとは？

多くの人が、このCレベルの役割に正社員を採用するのと比較して、バーチャルCISOの専門家を雇うメリットは何だろうかと疑問に思っているようです。 このような場合、従来の社内CISOに頼るのではなく、VCISOサービスを利用することで、以下のようなメリットが得られます：

1. 長い採用プロセスを排除する。 CISOの採用活動を成功させるためには、数ヶ月と数万ドルの費用がかかります。 CISOの求人情報を作成し、MonsterやLinkedInに掲載するだけでなく、企業は有能な候補者を見つけ、吟味するために時間を投資する必要があります。 さらに悪いことに、企業は候補者を獲得するために数週間を費やし、その結果、その候補者は福利厚生や給与に大きな予算を持つ他の企業に取られてしまうかもしれない。 仮想 CISO サービスを使用すると、専門家のチームにすぐにアクセスできるため、長く、コストがかかり、リスクの高い採用プロセスが不要になります。
2. 「24時間」サイバーセキュリティ監視を受ける。 高度なスキルを持つ CISO は優秀ですが、それでも組織全体のセキュリティ最適化とインシデント対応/管理を一人で行うことを求められています。 休暇を取ったり、新しい技術を習得するための時間を確保したり、病欠したりする必要があり、24時間365日すべてを把握できる人はいません。 バーチャルCISOサービスを利用すれば、専門家チームが互いにカバーし合い、常に監視とサポートを提供することができます。 そのため、一人の人間が提供できる以上のセキュリティを提供することができます。
3. バーチャルCISOは最新情報を入手しやすい。 このような状況下において、「SkyDesk」は、「SkyDesk」と「SkyDesk」を統合することで、「SkyDesk」と「SkyDesk」を融合させた新たなソリューションを提供します。 最新の脅威に対応し続けることは、それ自体がフルタイムの仕事です。 VCISOのサービス・プロバイダーは、チーム全体が自由に使えるため、新しいセキュリティの脅威に対応できることが多いのです。 MSSP は、1 人の担当者がすべての種類の脅威を学ぶのではなく (それはほとんど不可能です)、異なる脅威に対処する専門家を配置し、負担を分散することでより簡単に最新の動向を把握することができるのです。 前述したように、VCISOのコストはインハウスのそれよりもはるかに低い傾向がある。 これは、C レベルのポジションの採用に関連するコスト (広告、福利厚生、給与、ボーナス、継続的なサイバーセキュリティ トレーニング) の多くが、MSSP によって引き受けられるからです。 MSSPは、バーチャルCISOサービスチームに複数のアカウントを同時に担当させることができ、コストを分散させることができるので、一人ですべての負担を負う必要はありません。

VCISOサービスにCISO職務をアウトソースすることで得られる金銭的節約は、通常それを利用する最も人気のある理由となっています。 しかし、コスト以外も考慮することが重要です。

Reasons to Hire a Virtual CISO Service

上記のメリットは、VCISOを利用する強い動機となりがちですが、これらのサービスを利用する理由として最もよく挙げられるのは、以下の通りです。

1: VCISOサービスは毎月予想できるコストを提供するから

CISOを求める会社が直面する唯一の懸念とは程遠いものの、コストは仮想サービスを採用する理由として最もよく挙げられるものの1つです。 Cレベルのサイバーセキュリティの役割を果たすために適切な資格と経験を持つ人々は、自分の価値を知っており、あなたのオファーが十分に魅力的でない場合、彼らを雇うためにブロックの周りにオプションが並んでいます。 そのため、VCISO がより良いオファーを受けて退職することは珍しくありません。

この場合、企業は後任者を見つけて入社させるために奔走することになり、採用やトレーニングに追加のコストが発生します。 さらに、休暇や不定期の個人的なイベントのために休みを取る必要があることを考慮すると、CISOのサービスに対するリターンは月ごとに異なることがあります（特に、通常、給与所得者の立場であることを考えると）。 実際、多くの組織が、通常のサイバーセキュリティ専門家を、キャンパスベースまたは仮想の CISO トレーニングに参加させ、適切な候補者を輩出することを選択しているほどです。

さらに、トレーニングを受けた人が、既存のビジネス プロセスとスムーズに統合する大規模なサイバーセキュリティ計画を管理するための適切な経験とスキルを備えているという保証はありません。

堅牢なサイバーセキュリティ計画を提供する VCISO サービスを使用すると、C レベルのサイバーセキュリティ専門家をヘッドハントまたはトレーニングする必要性がなくなります。 さらに重要なことは、バーチャル CISO チームは、企業のセキュリティ計画を最適化するための支援において、個人が持っているよりもはるかに多くの経験を持っている場合が多いことです。

3: 今すぐ CISO サポートが必要だから

新しい CISO をヘッドハントまたはトレーニングする必要があるという副作用は、C レベルのサイバーセキュリティ サービスが長期にわたってない状態になってしまうことを意味します。 この間、重要なサイバーセキュリティの問題が対処されないまま放置されるため、ネットワークが他の場合よりも脆弱になります。

VCISOサービスを使用すると、長期の採用プロセスを排除することができます。 このため、必要なときに重要なサイバーセキュリティのサポートを受けることができます。

4: 幅広いサイバーセキュリティの専門知識が必要だから

前述のように、社内 CISO を使用する場合と比較して、バーチャル CISO サービスの主な利点の 1 つは、それぞれが異なることを専門にできる人たちのチーム全体を活用できる点です。
また、バーチャル CISO の専門家チームは、1 人の担当者よりも特定のセキュリティ リスクを正しく特定し、効果的な対策を立てることができる可能性が高くなります。

CISOとVCISOのどちらを雇うべきか

VCISOサービスに関して言及されているすべてのポジティブな点を考慮すると、それが常に最善の選択であると考えるかもしれません。 しかし、そう単純なものではありません。 例えば、組織によっては、サイバーセキュリティに完全に特化した人物をスタッフに置きたいと考えるかもしれません。 VCISO サービスでは、CISO 専門家チームが複数の企業に分散してしまうため、そのようなセットアップにはコストと知識の面でメリットがあるとしても、避けたいと思うかもしれません (複数の顧客に対応するチームは、ある企業で学んだ教訓を他の企業にも適用することができます)。 サイバーセキュリティに専念する専任の C レベル幹部を確保することで、会社がセキュリティを効果的に管理するためのリソースとそれをやり抜く献身的な姿勢を持っていることを示すことができ、会社のセキュリティアーキテクチャを改善するだけでなく、良い影響を与える可能性があります。 これは、社内の重要なセキュリティ対策に対する意識とコンプライアンスを高めるのに役立つ。 社内の人々に直接レポートを配布し、収集することができる (そして、セキュリティ ポリシーを決定する社内権限がある) ことで、サイバーセキュリティの取り組みがいかにうまく実行されるかに大きな違いが生まれます。 その答えは、目標や利用可能なリソースによって異なります。 本当に大規模な企業では、社内に CISO を置き、専任のサイバーセキュリティ・サポートスタッフを置くことが最も効果的です。

サイバーセキュリティのポリシーと手順を最適化するための支援が必要だが、バーチャル CISO サービスが自社に適しているかどうかよく分からないという方は、こちらをご覧ください。

コンピュクイップ・チームに連絡し、セキュリティ・ニーズとその対処法について相談してください。