CISOのための10のキャリアを損なう要因

Ground Picture – Shutterstock.com

CISOは大きな責任を担っており、不適切な行動によって企業や自身のキャリアに長期的な悪影響を及ぼす可能性があります。違法または非倫理的な行為は、通常、解雇につながります。

しかし、キャリアの成長を妨げるその他多くの過ちも存在します。その中には一見わかりにくく、回避が難しいものもあります。特にセキュリティ分野のリーダーには、キャリアを阻害する特有の落とし穴が待ち受けています。

ここでは、リーダー、キャリアコーチ、経営コンサルタントが指摘する、CISOのキャリアを損なう可能性のある10のミスを紹介します。

1. セキュリティをビジネスの優先事項に合わせない

ビジネスとセキュリティを調和させることは、現在のセキュリティ責任者にとって最も重要な要件の一つです。これを怠ると、専門家によれば、周囲から取り残されてしまいます。

同時に、セキュリティは「最終目標からビジネスを推進する機能へと進化している」と、ソフトウェアメーカーBenevityのCISOであるJames Carderは説明します。そのため、セキュリティ戦略、コミュニケーション、計画、実行はビジネス成果に合わせて調整する必要があります。

セキュリティ対策がここで意味のある投資対効果（ROI）を生み出せない場合、CISOは何かを間違えていると彼は考えます。「セキュリティはコストセンターとして運営すべきではありません。もしそのように行動したり報告したりしているなら、私たちは自分の役割を果たしていません」とCarderは述べています。

さらに彼は、セキュリティ対策をビジネス戦略にまだ合わせていないCISOは、根本的に考え方を変える必要があると指摘します。CISOは、自分たちの役割が変化しており、もはや門番ではなく、進歩の推進者であることを受け入れるべきだと述べています。

2. 技術者でしかないこと

セキュリティを企業戦略に適合させるためには、セキュリティの専門家も経営者であるべきだと、元ディズニーCISOで現Axonius社チーフプロダクトストラテジストのRyan Knisleyは説明します。しかし、多くのCISOは依然としてセキュリティ組織内で昇進する傾向があり、ビジネス部門での経験が少ないため、これは大きな課題となっています。

このようなキャリアパスにより、多くのCISOには2つの重要なスキルが欠けています。

• リスクを収益と結びつけること
• ビジネス指標を用いてセキュリティ対策の有効性を測定すること

「その結果、CISOの役割は軽視され、コスト要因と見なされてしまいます」とKnisleyは指摘します。彼はCISOに対し、ビジネススキルを磨くことを勧めています。そのためには、サイバーセキュリティ業界以外のプロフェッショナルメンターを探し、そこで職務経験を積むことが有効です。

3. 「ノー」としか言わない

テクノロジー企業TranscendのCISOであるAimee Cardwellは、CISOはセキュリティ部門が「ノー」と言うだけの存在ではいけないことを理解していると述べています。しかし、明確に「イエス」と言える人は一部にとどまり、そのため企業をある意味で見捨ててしまうことになり、これがキャリアの妨げになると専門家は指摘します。

「イエス」と言うためには、CISOは企業のリスク許容度を理解する必要があると専門家は述べます。その知識があれば、セキュリティコントロールを企業のスピードや簡便な取引の要求と適切に調和させることができます。

NCC Groupのシニアアドバイザー兼セキュリティディレクターであるTim Rawlinsは次のように説明します。「キャリアを伸ばしたいCISOは、『はい、それを安全かつ信頼性高く実現し、より強靭にするお手伝いをします』と言える人たちです。」

4. 一線を引きすぎる

Rawlinsはさらに、CISOはリスクの高いアイデアに対して一線を引いてはいけないと主張します。もしそうすれば、ビジネスの要求に本当に集中していないことを示すことになるからです。

「CISOは『絶対にダメ』と言うことはできません。もしそれが企業にとって重要であれば、安全かつ信頼性高く実現する方法を見つけなければなりません。そうでなければ、企業はあなたを回避するでしょう」と彼は助言しています。

5. 規則を厳格に守りすぎる

同様に、規則を厳格に守りすぎると、CISOは企業や自身のキャリアに悪影響を及ぼすとCardwellは述べます。彼女は自身の経験から次のような例を挙げています。

彼女の会社で、チームメンバーの一人が従業員によるサードパーティ製アプリの利用を最初は拒否しました。その理由は、セキュリティポリシーで禁止されているからでした。

Cardwellは従業員と共に状況を詳しく調査しました。その結果、そのアプリは2台のパソコンで2か月間だけ使用されるもので、ビジネスイニシアチブにとって非常に重要であることが分かりました。

彼女はセキュリティ規則の例外を認め、リスクを計算したうえでコントロールを導入することにしました。例えば、プロジェクト終了時にアプリを削除するためのサービスチケットを作成しました。

これは、セキュリティ部門が企業の推進者として機能する意思があることを示すものだとCardwellは述べています。同時に、CISOとセキュリティチームがパートナーとして、邪魔な存在ではなく見られることを保証します。

6. AIを誤解する

人工知能（AI）はますます普及しており、CISOはこの技術への理解を深める必要があります。そうすることで、適切にAIを保護できるだけでなく、AI以前の時代の遺物と見なされることもなくなります、と専門家は述べています。

それでも多くのセキュリティ専門家は、AIを「典型的なテクノロジーツールとして扱い、新しい領域として認識していない」と、Tiro SecurityのバーチャルCTO（vCTO）兼CISOであるJenai Marinkovicは述べています。

しかしAIは、従来の環境や「脅威の状況、意思決定のサイクル、さらには組織内での『真実』の理解」さえも変化させています。専門家がAIを単なる機能として扱い続けると、環境を誤って評価し、もはや存在しない脅威に対するソリューションを提供してしまうとCTOは説明します。「彼らの論理はリアルタイムで時代遅れになるでしょう。」

彼女はさらに、明日失敗するキャリアは怠慢や無能さではなく、時代遅れの概念体系が原因だと付け加えています。

7. 透明性が不足している

Kinsleyによれば、自分が何を守るべきか正確に把握していないCISOは、その役割で成功することはできません。さらに、すべてを把握できず、コントロールが有効かどうかも説明できない責任者は、信頼性と経営陣からの信頼を失うことになると述べています。

これに対しMarinkovicは、現在はかつてないほど全体像を把握することが求められていると指摘します。今日ほぼすべての組織に存在する見えない依存関係をモデル化できないCISOは、自ら失敗を招くと彼女は考えています。

「ハイブリッドシステム―生物学的、デジタル、運用、地政学的―では、最も壊滅的な障害は、結合がモデル化されていないポイントで発生します」と彼女は述べます。自分の制御ロジック（技術的または管理的）が、見えないシステム（規制、文化、経済）とどのように相互作用するかを認識できなければ、それを制御することもできません。「キャリアが危険にさらされるのは、能力不足ではなく、統合的な認識の欠如が原因です」と専門家は述べています。

8. ネットワーキングをしない

あらゆる分野の専門家は、

• 他者の業務を支援する
• 同僚の信頼できるパートナーになる
• 組織内で関係を築く

といったことを通じてキャリアを前進させています。

ネットワーキングが得意な人もいれば、役職によっては職場でのつながりを築くために協力が必要な場合もあります。

しかし、多くの企業におけるセキュリティ部門は、これらのいずれにも当てはまらないことが多いと、All-Star Executive Coachingの創設者であるKimberly Roushは指摘します。しかし、それでも成功するセキュリティプログラムや個人のキャリア発展において、関係構築が重要であることに変わりはありません。そのため、セキュリティ担当者は自ら機会を作り出す必要があると専門家は述べています。

Roushは、同僚にネットワーキングの意思を伝えることを勧めています。CISOは同僚に声をかけて質問し、成果を認め、他者から学ぶためのミーティングを計画すべきです。これにより、自部門を超えた影響力を高めることができます。

9. 時間と注意を惜しむ

CISOは多忙を極めていますが、それでも従業員が相談や懸念を持ってきたときは注意深く対応する必要があります。冷たくあしらうと、その人は今後セキュリティ関連の情報を報告しなくなる可能性があるとCardwellは述べています。さらに悪いことに、セキュリティ機能を積極的に回避し始めるかもしれません。

些細な指摘でも重大な問題の兆候であることがあります。したがって、すべての報告を真剣に受け止め、オープンかつ関心を持って対応することが重要です。

10. セキュリティ侵害への対応を誤る

セキュリティインシデントが「起こるかどうか」ではなく「いつ起こるか」であることは、CISOだけでなく経営陣も今や理解しています。そのため、インシデントがキャリアの終わりを意味する時代ではなくなりました。

Cardwellは、かつてはセキュリティ違反が「CISOにとっての汚点」だったと説明します。しかし現在は状況がほぼ一変し、「セキュリティ違反を一度も経験したことがないCISOは雇いたくない」と彼女は言います。むしろ、他の場所で違反を経験し、そこから学んだ専門家を好みます。この経験が、強靭さに必要なものをより深く理解させるからです。

しかし、CISOがインシデント対応を誤れば、依然としてキャリアを台無しにする可能性があると専門家は指摘します。

そのため、CISOはインシデント対応のための十分に練られた計画を持つ必要があります。そうすることで、

• 迅速に行動し
• 被害を最小限に抑え
• 損傷したものを速やかに復旧する

ことができます。Rawlinsによれば、冷静かつ明確にコミュニケーションを取り、コントロールを維持することも重要です。ただし、それでも必ずしも職を守れるとは限らないとも認めています。

「重大なセキュリティインシデントの後、CISOがそのポジションに18か月ほど留まるケースは今も見られます」とコンサルタントは述べます。「しかし、それがあなたのキャリアを台無しにする必要はありません。」（tf/jd）