CISO後継者危機：なぜ企業は計画を持たず、どう変えるべきか

IANS ResearchとArtico Searchのレポートによると、CISOの離職率は安定傾向を見せており、2022年の21%から2023年には12%、2024年前半には年率換算で11%に減少しています。それでも、組織には厳しい現実があります。トップのセキュリティ責任者が退職した際、すぐにその役割を引き継げる人材がいないのです。

この安定は根本的な問題を覆い隠しています。ほとんどの企業には明確な後継者計画や、将来のCISOを育成する強力なプログラムがなく、リーダー交代時に脆弱な状態に陥っています。

問題は単に技術的スキルを持った人材を見つけることではなく、経営層と対話し、ビジネスリーダーの視点で考えられる人材を社内で育てることです。しかし、ビジネスを理解し、コミュニケーション能力が高く、戦略的思考ができるリーダーを社内で育てるのは簡単ではありません。これらこそが、セキュリティ専門家をCISOへと成長させる資質です。サイバー脅威が増加し、規制も強化される中、実務と経営層のリーダーシップの間のギャップはかつてないほど広がっています。

後継者計画の空白

企業が正式なCISO後継者計画を持っていることはどれくらいあるのでしょうか？「ほとんどないと言っていいでしょう」とKorn Ferryのマネージング・エグゼクティブ・サーチ・コンサルタント、マギー・マイヤーズ氏は語ります。計画がないからこそ、多くの企業が彼女の会社に依頼するのだと付け加えます。

社内でリーダーを育てる計画がなければ、企業は自らを危険にさらすことになります。結局、外部からの採用に頼ることになり、そのプロセスには数か月かかり、その間に重要なセキュリティポジションが空席となることもあります。

マイヤーズ氏がクライアントからよく聞く話は、よくあるパターンです。「『ナンバー2はいます。彼らはトップのポジションに挑戦したいと思っています』とよく言われます。そしてほぼ毎回、『技術的には優秀で、非常に信頼でき、世界レベルのオペレーションを運営できます』とも聞きます」。しかし問題は、彼らがサイバーセキュリティを企業戦略やビジネス戦略、M&Aの成長施策、そしてサイバーセキュリティを取り巻くより広い戦略的思考と結びつけることを学んでいない点だと説明します。

社内でCISOの交代を実現した組織でさえ、多くは正式な計画なしに行われています。XiFinのCISO兼最高法務・コンプライアンス責任者のマーティ・バラック氏は、2018年にゼネラルカウンセルとして入社した後、自然な流れでCISOの役割に移行しました。「当社ではこれまで後継者計画はありませんでした」とバラック氏は語ります。「この役割は、私がセキュリティ機能に対して行っていた指導と監督が認められた結果でした。」

同様に、Crum & Forsterの上級副社長兼CISOのクリス・ホールデン氏も、前任のCISOが退職した後にその役割に就きました。「当時、正式な後継者計画はありませんでした」と彼は語ります。

技術から戦略へのギャップ

多くの中堅セキュリティ担当者がCISOになれない主な障壁は、技術スキルではなく、実務から戦略的ビジネスパートナーへの転換を学ぶことです。その変化には全く新しいスキルと異なる思考法が求められます。

「多くのCISOに共通することだと思いますが、私たちの多くは非常に技術的なバックグラウンドからキャリアを積んできました」とホールデン氏は述べます。「今では私の時間の50%以上が、私が思っていたサイバーセキュリティとは全く異なる視点を持つ非技術系の経営層とのやり取りに費やされています。」

課題は単に経営層とコミュニケーションを取ることにとどまりません。「サイバーセキュリティの専門家がCISOになりたいのであれば、セキュリティ課題に関する戦術的な活動から、会社全体のリスクやビジネスプロセス、そしてその中でのサイバーセキュリティの役割へと視野を広げる必要があります」とバラック氏は語ります。

この広い視野には、サイバーセキュリティが情報技術、コンプライアンス、顧客関係、ベンダー管理、そして今やサイバーセキュリティ要素を含むことが多い環境・社会・ガバナンス（ESG）など、会社全体のさまざまなステークホルダーとどのように関わるかを理解することも含まれるとバラック氏は述べています。

「そうしたより広い企業レベルで課題を分析し、それを取締役や他の経営層、第三者のステークホルダーに伝えることができなければなりません」とバラック氏は語ります。これには「対処すべきさまざまな課題を認識し、適切な分析フレームワークを持ち、会社の優先事項を反映したリスクバランスの取り方が求められます。」

リスク管理の進化

CISO候補者が少ないもう一つの理由は、多くのセキュリティリーダーがリスクの捉え方を転換できていないことです。彼らはリスクを白黒で捉え、すべての欠陥を修正し、すべての脅威をブロックするよう訓練されています。しかしCISOの役割は、セキュリティとビジネスニーズのバランスを取り、その選択を取締役会に説明することも含まれます。この転換ができなければ、トップの役割を担える社内候補者は十分に育ちません。

バラック氏はこのことを自身の転換期に実感しました。「すぐに気づいたのは、弁護士のリスク観点は正しいものではなかったということです」と彼は語ります。このギャップを埋めるため、ISACAのCertified in Risk and Information Systems Control認定を取得しました。「それによって、法的・規制的観点ではなく、セキュリティとビジネスの観点からリスクを深く理解できるようになりました」とバラック氏は述べています。

違いは何を優先するかにあります。「弁護士はすべてのリスクを対処すべきものと見なすため、リスクの優先順位付けが得意とは言えないと思います」とバラック氏は説明します。

サイバーセキュリティは、廃止されたソフトウェア、隠れた欠陥、フィッシングメール、詐欺、社内外からの攻撃など、絶え間ない脅威に直面することです。CISOの本当の仕事は、どのリスクが最も重要かを判断し、適切な優先順位を設定することです。

そしてこのリスク管理の視点は、組織全体に効果的に伝える必要があります。「CISOの役割はリスク管理の役割であり、すべてのステークホルダーに対して、リスク管理機能が適切かつ効果的に運用され、良好なセキュリティを実現していることを明確に伝えることです」とバラック氏は述べています。

育成の構造的障壁

サイバーセキュリティリーダーの役割は個人のスキルだけでなく、多くの企業の組織構造が中堅セキュリティリーダーにCISOへの経験を積ませることを妨げています。マイヤーズ氏は、効果的な後継者計画を難しくするいくつかの構造的課題を指摘します。

「多くの場合、CISOの役割は組織内で非常に多様であり、CIO、CFO、CEOのいずれに報告するかによっても異なります」と彼女は説明します。「それが戦略的な可視性や影響力を制限し、ナンバー2が経営層や取締役会レベルの経験を積む機会を得られず、その役割に本当に就く準備ができない原因となります。」

この問題は、企業の構造によってさらに悪化します。CISOは多岐にわたる責任、リスク、コンプライアンス、ガバナンス、ベンダー、データプライバシー、危機管理を監督しますが、サイバーチームは通常少人数で機能ごとに分かれているため、多くの副責任者は全体像の一部しか見えていません。その限られた視野が、彼らがトップの役割に本当にふさわしいと見なされにくい要因となっています。

取締役会での経験も大きな障壁です。「CISOは取締役会での経験が必要であり、特に業界や会社の所有構造によっては非常に重要です」とマイヤーズ氏は述べます。「これは初日からいきなり信頼と信用を得られるものではなく、在任中に経験を積む機会がなければ難しいことです。」

加えて、非常に優秀な技術者の中には、管理職に全く興味がない人もいます。ホールデン氏はこの課題を認め、「これまで出会った中で最も優秀な技術者の中には、人の管理に全く興味がない人もいます。彼らは個人として貢献することに大きな満足感を感じているのです」と述べています。

効果的な後継者育成プログラムの構築

成功した後継者育成プログラムを持つ組織には、いくつかの共通したアプローチがあります。最も重要なのは、新しいCISOが就任したその日から始める早期かつ意図的な計画です。

「最先端のCISOは初日から始めます。最初に行うのは人材とチームの評価、そしてすぐに後継者計画を考え、組織内の候補者を特定することです」とマイヤーズ氏は語ります。

重要なのは、既存の機能リーダーを昇格させるのではなく、副CISOポジションを新設することです。「本当の副CISOとは、複数の分野を担当し、部門横断的な監督を担える人材であり、一つのサイロにとどまらないことです」とマイヤーズ氏は説明します。

その人材にはリーダーシップチーム、そして必要に応じて取締役会へのアクセスが必要です。単に資料を作るだけでなく、実際にその場にいて話を聞き、議論に参加するべきだと彼女は付け加えます。

ローテーションプログラムも有効です。これにより、後継候補者がビジネスのさまざまな分野で経験を積むことができます。このアプローチにより、「各分野で十分な経験を積み、トップの役割を目指す際に大きなアドバンテージとなる」とマイヤーズ氏は述べています。

バラック氏は、支援的な学習環境を作ることの重要性を強調します。「私は非常に前向きな学習環境を育てるよう努めています。エスカレーションは悪いことではなく、その結果が部下の学びの機会となることもありますが、それは罰ではありません」と彼は述べます。「彼らを成長させるにはリスクを取らせることも必要です。成功するようにサポートしつつ、成長の機会を与えなければなりません。」

後継者計画に取り組むことは、将来のCISO候補を育てるだけでなく、さまざまな面で効果があります。マイヤーズ氏は、社内人材を技術的にも経営層対応にも強く育てることで、企業全体のコスト削減とリスク低減につながると指摘します。初期投資は、安定性や継続性、コスト削減といった形で十分に回収できます。

専門家たちは、CISOが退職してから次を考えるのでは遅いと口を揃えます。サイバー脅威は進化し続け、セキュリティリーダーシップの役割はますます重要になっています。将来のCISOを育てることは、もはや「あれば良い」ものではなく「必須」です。今すぐ取り組む組織こそが、次の大きな課題が訪れたときに安定したリーダーシップを維持できるのです。