CISOの職を失う9つの理由

写真: Anton Vierietin | shutterstock.com

CISOやその他のITセキュリティ分野のエグゼクティブは、通常、自社や自身のキャリアを守るために懸命に働いています。しかし、ちょっとした不注意や誤った思い込み、あるいは間違ったアドバイスひとつで、これまでの努力が一瞬で水の泡になることもあります。

もし今の仕事を続けたいのであれば、以下の9つの行動は絶対に避けるべきです。

1. 自分を過大評価する

自己過信は、キャリアに大きな打撃を与える可能性があります。特に、それが（セキュリティ）ソリューションの導入につながり、それらがまだ実績のないものであった場合はなおさらです。セキュリティソフトウェアベンダーXypro Technology CorporationのCISO、Steve Tcherchianは次のように警告します。「このような“アプローチ”はセキュリティホールを生み、人為的ミスのリスクを高め、ステークホルダーに誤った安心感を与えます――そして最終的には壊滅的なセキュリティインシデントにつながります。」

過度な自信は、ITセキュリティの意思決定者やそのチームが自己満足に陥る原因にもなります。XyproのCISOはこう警告します。「個人や企業が十分なセキュリティプロセスを確立したと考えると、警戒心が薄れ、保護策が徐々に陳腐化し、新たな脅威への脆弱性が高まります。」

2. 複雑さを助長する

テクノロジートレンドや流行に振り回され、本来の役割に集中できなくなるCISOも、キャリアを危うくするリスクがあります。コンサルティング会社EYのグローバルサイバーセキュリティコンサルティングリーダー、Richard Watsonはその結果をこう説明します。「その結果、多くのテクノロジーが導入され、不要な複雑さが生まれ、本質から目をそらしてしまいます。複雑さは追加コストを生み、統合の過程で新たなセキュリティホールが生まれ、攻撃者に悪用される可能性があります。」

さらにEYのコンサルタントは、複雑さが誤った安心感を与えることもあると指摘します。企業は最新のテクノロジーイノベーションによって特に高いレベルで守られていると考えがちだからです。

3. GRCを軽視する

セキュリティキャリアを短命に終わらせるもう一つの有力な方法は、正式なGRCプログラム（ガバナンス、リスク＆コンプライアンス）なしにサイバーセキュリティスタックを構築することです。ネットワークサービスプロバイダーVelaspanのCISO、Scott Hawkはその理由を詳細に説明します。「このミスは、企業のさまざまな側面に影響を及ぼすため、壊滅的な結果を招く可能性があります。堅牢なGRCプログラムがなければ、テクノロジーに過剰な投資をしたり、誤った安心感を持ったり、重要なセキュリティ要素を見落としたり、他部門との連携が妨げられる可能性が高くなります。」

対策としてHawkは、COBITのようなGRCフレームワークを推奨しています。これにより、リスク管理、コンプライアンス要件、ガバナンスが企業の全体戦略に統合されます。「GRCはサイバーセキュリティを全社的な議題にします。これにより優先順位付けや受容が促進され、GRCによってサイバーセキュリティがビジネスの推進力となるのです」とHawkは述べています。

4. アラインメント（整合性）を欠く

セキュリティプロフェッショナルが犯す最大の失敗は、技術的でも財務的でもありません。プラットフォームプロバイダーAxioのシニアサイバーセキュリティアドバイザー、Richard Caralliは、CISOのキャリアにとって、潜在的な脅威を見逃すこと以上に有害なものを明かします。「サイバーセキュリティプログラムを組織全体の文脈で理解し、設計しないことが、ITセキュリティの意思決定者が犯す最大の過ちです。企業の存続に不可欠なものを守ることこそが、サイバーセキュリティの優先順位や投資を決定すべきです。」

Caralliによれば、CISOの義務には、企業の目標や価値観に沿ったサイバーセキュリティ施策を立案することが明確に含まれます。このアラインメントが欠けている場合、コンサルタントは次のような悪影響を予測します。「投資が誤った方向に向けられたり、リソースが十分に活用されなかったり、全体として低品質なサイバーセキュリティの結果を招く恐れがあります。」

5. アクセス制御を後回しにする

「木を見て森を見ず」という状況は、サイバーセキュリティの意思決定者にも当てはまります。たとえば、CISOがシステムのバックドアばかり気にして、アクセス制御をおろそかにする場合です。アイデンティティ専門企業Zilla Securityの共同創業者Nitin Sonawaneは、こうした事態を強く警告します。「デジタルアイデンティティはシステムへの主な入口です。これが不十分に保護されていたり、誤って設定されていたりすると、特に過剰な権限を持つアイデンティティは攻撃時に大きなリスクとなります。」

セキュリティ専門家によれば、企業はしばしば退職者やパートナーのアクセス権管理を適切に行っていません。その結果、放置されたアカウントが脅威アクターに悪用される可能性があります。Sonawaneは、最も効果的なアイデンティティ管理にはAIの活用が不可欠だと考えています。「多くの企業は、ユーザーのビジネスプロファイルの“真実のソース”としてHRアプリケーションを利用しています。異動があった場合、新しい上司がビジネスコンテキストに基づいて必要な権限を判断しますが、ここでAIが支援できます。」

6. 人的要因を無視する

ITセキュリティの意思決定者が技術的なソリューションやプロセスだけに注目しても、（キャリア的にも）成功にはつながりません。ITコンサルティング会社PresidioのField CISO、Dan Lohrmannは、これを最大の失敗と見なしています。「人間は依然として最大の弱点です。この事実を過小評価したり無視したりするセキュリティ専門家は、必ず失敗します。」

特に従業員がコントロール対策や既存の方針、プロセスを回避しようとする傾向は、インサイダー脅威を引き起こす可能性があります。Lohrmannは自身の経験からこう語ります。「私は、優れたサイバーセキュリティ施策を妨害する従業員を見てきました。彼らは何もしなかったり、チーム内に不和を生じさせたり、不必要なリスクを取ったりします。また、人は時間とともに変化することも覚えておくべきです。かつて優秀だった従業員も、バーンアウトや困難な人生状況で集中力を失うことがあります。これは、未熟なユーザーや悪意あるユーザーと同じくらい大きな被害をもたらす可能性があります。」

Field CISOは対策として、採用活動の最適化や新規採用者の徹底的なバックグラウンドチェックを推奨しています。これにより、社内のセキュリティレベルを高めることができるとしています。さらにLohrmannは、「バーンアウトの兆候を見抜く能力も同様に重要です」と付け加えています。

7. データの放置を許す

クラウドストレージに放置された古いデータセットは、目に見えないためすぐに忘れられがちですが、CISOのキャリアを脅かす「時限爆弾」となり得ます。

データセキュリティベンダーMetomicのCEO、Rich Vibertは問題点をこう指摘します。「このようなデータは、セキュリティホールからコンプライアンス違反まで、重大なリスクをはらんでいます。これは非常に避けやすいにもかかわらず、特に愚かなミスです。古いデータセットには機密情報が含まれていることがあり、アクセス制御が不十分だと、悪意ある第三者の手に渡った場合に危険です。」

さらにVibertは、古いデータがサイバー犯罪者にとって価値ある過去情報となり、より標的を絞ったソーシャルエンジニアリング攻撃に利用される可能性があると述べています。

8. サイロ化に陥る

非技術部門のステークホルダーとの効果的なコミュニケーションが欠如すると、誤解、不信、混乱を招くだけでなく、該当するCISOはセキュリティ予算の承認を得るのが格段に難しくなります。

Ventana Researchのディレクター、Jeff Orrは、ITセキュリティの意思決定者に対し、重要なセキュリティ課題やビジネスへの影響を説明する際にはビジネス用語を使うことを勧めています。「セキュリティの概念をビジネス活動と結びつける例を示し、レポートでも明確さを重視してください。」

9. 自己満足に陥る

CISOのキャリアを最も危険にさらすミスは、「すべてがコントロール下にある」と思い込むことです。セキュリティベンダーRadwareのCISO、Howard Taylorは、そのような思い込みに陥るリーダーを知っており、彼らのキャリアがどう終わるかも知っています。「こうしたリーダーは、大量の認定資格によってサイバー犯罪者から守られていると信じています。しかし、企業が大規模なデータ漏洩を経験した後、彼らの最後の言葉は『PCI DSS認証は取得しているのに』です。」

ITセキュリティに関する他の興味深い記事をお探しですか？無料ニュースレターでは、セキュリティの意思決定者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。