ニュースリリース - 2018年1月17日

シノプシス、CISOレポートを発表：CISO職に求められる4つの異なる側面を定義

情報/セキュリティ責任者の役割、またそれが組織の柔軟性にいかに左右されるかについて、2年に渡って調査

2018年1月17日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は、情報/セキュリティ責任者の役割と、それに影響を及ぼす組織の柔軟性に関する調査データを元にした2年間の研究結果をまとめ、CISO Reportとして初公開した。このCISO（Chief Information Security Officer）Reportは、異なる特質を持つ“区分”に分けてCISOの役割を4つの側面から定義している。この研究からは、4つの区分はセキュリティ戦略の実行という意味では必ずしも一致しないこと、それでありながらお互いに影響し合うものであることが明らかとなっており、セキュリティ戦略を強化しキャリアを高めたいと望むCISOにとっては示唆に富んだ結果となっている。

シノプシス　ソフトウェア・インテグリティ・グループ　セキュリティ・テクノロジ担当副社長　Dr. Gary McGrawは、次のように語っている。「CISOも人間ですから、自分が何をすべきか、何故そうすべきか、同じ職務の他者と比較して自分はどう評価されるか、といったことが気にかかります。CISOはかくあるべきといったモデルがあるわけではありませんが、そういった姿を分類し意味のある方法で理解することを可能にする共通の特徴はあります。他者のあり方を参照して自身のあるべき姿を考えることにより、CISOは戦略を進めていく上でより良い示唆を得られるでしょう」

CISO Reportは、BSIMM（Building Security In Maturity Model）調査と同様の手法で研究を進め、世界各国の大企業で職務を執行している25名のCISOに対して、過去2年に渡って様々な角度からの対面取材を重ねて収集したデータの分析結果がまとめられている。“区分”特性を判断するための18の識別子を用いて4つに区分された結果は下記の通りである。

• 区分1：実行手段としてのセキュリティ
• 区分2：テクノロジとしてのセキュリティ 
• 区分3：法制遵守としてのセキュリティ
• 区分4：コスト要因としてのセキュリティ

今回の研究対象の一人でもあるAetna社のCSO　Jim Routh氏は、次のように述べている。「CISO Reportは、世界でも最も繊細かつ困難な職務の一つである情報/セキュリティ責任者のあり方を定義するための、シンプルかつ非常に説得力のあるフレームワークを提供してくれます。それぞれの肩書きが示すものの真価を単に査定しているのではなく、CISOの職務を正しく全うするのに資する多くの対外的・対内的な要因を思慮深く分析・記述しています。このレポートは、ある特定段階でのビジネス展開で必要とされる内容にベスト・フィットするのはどういうタイプのCISOかを判断しなければならないビジネス・リーダーたちにとって特に有益です」

CISO Reportは、https://www.synopsys.com/software-integrity/resources/analyst-reports/ciso.htmlよりダウンロード可能である。

謝辞

CISO Reportを執筆した、Dr. Gary McGraw、シノプシスのチーフ・サイエンティスト　Sammy Migues、NetSuite社のインフラストラクチャ/セキュリティ担当上級副社長　Dr. Brian Chess、ならびに調査参加企業各社に深く感謝申し上げます。社名公開に同意した調査参加企業は下記の通りです。

ADP、Aetna、Allergan、Bank of America、Cisco、Citizens Bank、Eli Lilly、Facebook、Fannie Mae、Goldman Sachs、HSBC、Human Longevity、JPMorgan Chase、LifeLock、Morningstar、Starbucks、U.S. Bank。

調査対象となった方々のCISO職務経験の合計年数は150年にのぼります。

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア開発ライフサイクルとサプライチェーンにインテグリティ（セキュリティとクオリティ）を確立するための業界で最も包括的なソリューションを提供している。このソフトウェア・インテグリティ・プラットフォームは、シノプシスが業界をリードするテスト・テクノロジ、解析自動化テクノロジ、そして強靭なツール群やサービスを提供するエキスパートの所産である。これによりソフトウェア開発企業/団体は、開発工程の早期段階でソフトウェアの欠陥や脆弱性を検知/修正し、開発リスクを最小化、開発効率を最大化するための独自の対策を構築することが可能となる。シノプシスは、アプリケーション・セキュリティ・テスト（AST）のリーディング・カンパニーとして高い評価を受けており、IoT、DevOps、CI/CD、クラウドといった新しいテクノロジやトレンドでベスト・プラクティスの実践を可能にする独自のポジションを確立している。

詳細情報は、https://www.synopsys.com/software-integrity.htmlより入手可能。

シノプシスについて
Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。