セキュリティ事件でスケープゴートにされるCIO：Case Study

セキュリティ侵害が発生した場合、たとえCIOに過失がなくとも責任を負わされるケースが多い。CIOはどうしたら身を守れるだろうか。

[Kate Evans-Correia, Linda Tucci，TechTarget]

　セキュリティ侵害が発生すると、CIOは不吉な予感を抱く。仕事を失いかねないからだ。

　米復員軍人省（VA）のCISO（最高情報セキュリティ責任者）兼CIO代理を務めていたペドロ・カデナス・ジュニア氏が最近退任したのは、CIOの過失というよりも組織の機能不全に原因がありそうなセキュリティ事件の責任をIT担当役員がかぶった最新の例にすぎない。

　報道によると、カデナス氏とその前任者で上司だったロバート・マクファーランド氏は、同省のITインフラを刷新し、ITに関する権限を中央に集中させようとして悪戦苦闘した。マクファーランド氏は、同省が自己改革を進められないことにいら立ちを募らせ、5月のデータ流出事件の数週間前に辞任した。この事件は、VAの職員の自宅から、復員軍人2600万人分と現役軍人200万人分以上の個人データが無防備に保存されたノートPCが盗まれたというものだった。このノートPCはその後、データが元のまま保存された状態で見つかったが、この事件をきっかけに、同省で起きたほかのセキュリティ侵害が続々と明るみになった。

　カデナス氏は5月の事件後間もなく退任したが、退任前の2週間は有給休職を命じられていたと報じられている。マクファーランド氏についてもカデナス氏についても、不手際があったとの公式見解は示されていない。

　専門家は、セキュリティの問題には一般に多くの部門がかかわっているにもかかわらず、ITセキュリティが侵害されると、真っ先に責められる役員はCIOであることが多いと指摘する。

　「上層部はこう考える。『データが失われた。これはコンピュータの問題だ。となるとCIOのせいに違いない』と」とセキュリティ専門家団体の応用ネットワークセキュリティ協会（The Institute for Applied Network Security）でマネージングディレクターを務めるジャック・フィリップス氏は語る。「技術担当の役員が1人しかいなければ、やり玉に挙げるべき相手は1人しかいないということになる」

関連ホワイトペーパー

CIO | ウイルス | 経営 | セキュリティ対策 | セキュリティポリシー