CISOらがAIスポットライトへ踏み出す

軍隊での勤務には正確で戦術的な思考が必要であり、それはまさにバリー・ヘンズレーが米陸軍での24年間を通じて示した姿勢であり、彼は大佐の階級に昇進しました。

軍隊は「昇進を勝ち取り、兵士たちに塹壕に飛び込み武器を手にする覚悟を見せる場所です」と、独立系保険仲介会社Brown & BrownのCSO、ヘンズレーは述べています。

業界が絶えず進化しているセキュリティリーダーとしての経験から、ヘンズレーはこの現場主義的アプローチをリーダーシップの哲学の重要な部分として活かしてきました。これはCSO職がますます戦略的になっている中でも変わりません。

「セキュリティリーダーは、戦術的な闘いに十分に近い位置にいて、組織の戦略的方向性を効果的に導き、ビジネス目標と整合させ、リスクと投資を管理し、文化に影響を与える必要があります」と彼は説明しています。ビジネスユニットは、リーダーが特定のセキュリティ分野の専門知識レベルに確信を持つ必要があり、そのことによってリーダーが必要なリスクと投資を適切に代弁できるようになります。

「セキュリティイベント中に袖をまくり上げることは決して悪いことではありません」とヘンズレーは付け加えています。「これはあなたの先頭に立ってリードし、または最も緊迫した状況で支援する意思を示すものです。」

そしてそうした緊迫した状況はますます増加しています。CISOへのスポットライトはこれまでになく明るく輝いています。データ保護とプライバシー、第三者およびサプライチェーンリスク、規制上の適合性と報告などの責任の増加に加えて、CISOは今、AIの台頭に直面しています。それは悪意のある者の手にあるAIであり、また企業全体に広がるAIです。CISO職が進化し拡大する中で、多くのリーダーはこの機会を受け入れるために立ち上がっています。

Foundryの最新セキュリティ優先度調査によると、トップのセキュリティリーダーの95%が月に複数回取締役会と定期的に関わっており、これは2023年の85%から増加しています。

これはサイバーセキュリティイニシアティブの推進に役立っています。調査によるとCISOの地位向上は新しい報告構造につながっており、回答者の31%がトップセキュリティリーダーが取締役会に直接報告していると述べています。回答者の5分の1だけが、セキュリティチーフが企業のCIOに報告していると述べており、「これはサイバーセキュリティがIT外で独自のインフラストラクチャとリーダーシップを持つことを示す別の兆候です。」

CSOは、AI主導権がエンタープライズ内に確実に根付く中での統治方法について、ヘンズレーおよび他の2026年CSO殿堂入り者に話を聞きました。

AIセキュリティフレームワークの実装

AIはBrown & Brownのセキュリティ戦略の中核的要素です。SOC業務の強化、脆弱性管理の合理化、第三者および第四者のパートナーシップのリスク/リワード評価、セキュリティアプリケーション開発の強化を行っていると、ヘンズレーは述べています。

「2026年のトップの優先事項は、ビジネスが安全に速く動くことを可能にするAIセキュリティフレームワークを公開することです」と彼は述べています。彼のスタッフは企業のAIエンジニアリングおよび実装チームと協力して、AIリスク評価を実施し、AIが目的に適合しており、同社のAIガバナンスワーキンググループを通じて責任を持って使用されていることを確認しています。

「AIは私たちのリーダーの最優先事項であり、取締役会との話し合いにおいて重要なトピックであり、ビジネスの重要な検討事項と差別化要因として機能しています」とヘンズレーは述べています。

企業は、AI機能が展開される前にセキュリティレビューが必要なガバナンスフレームワークが必要です。これに同意しているのはPayPalのシニアバイスプレジデント兼CISO、ショーン・カリファンです。これにより、ユースケースはセキュリティ要件、データ機密性、業務リスク、ビジネスインパクトに対して評価されることが保証されます。

「これが私がPayPalの主要なAIビジネス決定のための戦略的ビジネスアドバイザーである理由です」と、彼のチームが高度なリスク検出技術と監視を適用しており、月間10億以上のトランザクションを評価するリアルタイムで実行される機械学習モデルを含めているカリファンは述べています。

この作業には、リスクとビジネスの整合性を維持し、新しい製品を既存のコンプライアンスおよびリスクフレームワークに組み込み、各製品の固有の特性に適応させることが含まれます。彼は述べています。

速く動け、リスクを遠ざけろ

ヘンズレーと同様に、ChimeのCSO、ジェフ・トルドーは、この職は責任を持ってAIを採用するにあたってビジネスの戦略的パートナーに対する制御機能から根本的にシフトしていると述べています。Chimeでは、これはAIが構築され展開された後にレビューするのではなく、AIがどのように構築され展開されるかに早期に組み込まれていることを意味しています。トルドーは述べています。

「私たちは3つの領域に焦点を当てています。AIシステム自体の保護、企業全体でのAI使用のガバナンス、スケーリングする際のリスク/リワード決定についてリーダーシップが明確な判断を下すのを支援することです。」と彼は述べています。

AIは速度と攻撃面の両方を増加させることを指摘して、トルドーは彼の役割は企業が許容できないリスクを導入することなく速く動くことができることを保証することであると述べています。「これには、エンジニアリング、プロダクト、データチームとのより緊密な統合、ならびにAIが私たちのリスク姿勢をどのように変えるかについての経営層および取締役会とのより直接的なエンゲージメントが必要です。」

カリファンもまた自分自身を強力な運用およびエンジニアリング基盤を持つ戦略的CISOとして特徴付けています。彼は強く、ビジネス目標と整合した明確に定義されたセキュリティ戦略がサイバーセキュリティ組織の成功に不可欠であると信じています。

「セキュリティは独立した機能として機能することはできません。それはビジネスが成長し、革新し、信頼を獲得し続ける方法に組み込まれる必要があります」と彼は述べており、「戦略なき実行は単なる理論です。私たちは毎日変わる脅威の状況で活動しており、戦術的行動が直近のリスク管理に重要な瞬間があります。」と付け加えています。

急速なAI採用は完璧な例です。トルドーと同じように、カリファンはCISOが組織が迅速に動く一方で、顧客、データ、インフラストラクチャ、評判を保護する必要があると信じています。

「最高のCISOは両方のバランスをとる方法を知っており、長期的に考えながら短期的に決定的に行動しています」と彼は述べています。

すべての道は信頼と強力なガバナンスに通じると彼は指摘しています。「信頼はテクノロジーとビジネスの両方の基礎です。顧客、マーチャント、パートナー、インフラストラクチャ全体のシステムへの信頼を構築して、AIおよびエージェント駆動トランザクションが信頼でき、安全で検証可能であることを確認する必要があります。」

AIは最大のセキュリティ上の課題を生み出している

トルドーにとって、AI時代の始まりにおける最大の課題は変化のペースです。AIはソフトウェアがどのように構築されるか、攻撃がどのように実行されるか、およびシステムがどのように迅速に進化するかを加速させています。従来のセキュリティモデル、定期的なレビュー、および静的なコントロールは追いつきません。彼は述べています。

「私たちはより継続的で組み込まれたセキュリティ慣行へのシフトによってそれに対処しています。これには、セキュリティを開発ワークフローに統合すること、リアルタイムで適応する検出および対応機能への投資、ならびにAIシステムによって機密情報がどのようにアクセスおよび使用されるかについてのより強力なデータガバナンスの構築が含まれます」とトルドーは述べています。

同時に、焦点はスケール規模での信頼の維持にあります。「より多くのAI駆動体験を導入するにつれて、システムがどのように振る舞うか、どのような決定が下されるか、そして人間の監視がどこで残るかについて明確である必要があります」とトルドーは述べています。「それは技術的なもの同じくらい、プロダクトおよび信頼の課題です。」

AIはまた、Brown & Brownが見ているフィッシングキャンペーンにも影響を与えています。ヘンズレーは述べています。「AIは個人を偽装する能力、音声とビデオの両方で、また詐欺的なリクエストが本物であることをチームメイトにさらに納得させるための支援文書を迅速に生成しながら、成熟しています。」

AnthropicのMythosリリースのプレビューは、AIが以前は未知の脆弱性を迅速に発見し、その悪用を自動化できることを示しています。ヘンズレーは述べています。「これはパラダイムを変えます。脆弱性管理は、組織がリスク許容度に基づく軽減コントロールについてのホスト修正を数週間待つことができないため、組織にとってより高い優先事項になる可能性があります。」

ほとんどの組織は、リアルタイムに近いパッチングのための自動化を展開するために、ITプラットフォームプロバイダーに権限を与える必要があり、一方で契約されたサービスレベル可用性について彼らに責任を持たせる必要があります。彼は述べています。

アイデンティティ、データ、および人間の管理

AIはCISOが対処しなければならない唯一の課題ではありません。カリファンは、アイデンティティ、データセキュリティ、およびコンテキストが彼が解決する必要のある最も重要な課題であると述べています。

「アイデンティティはより複雑になっており、人間、マシン、API、および自律型エージェントがすべて重要なシステムと相互作用します」と彼は述べています。「誰が—または何が—アクセスを要求しており、適切なレベルの信頼と最小特権を保証することは基本的です。」

コンテキストは乗数です。カリファンは付け加えています。「ビジネスコンテキストなしのセキュリティ決定は不要な摩擦を生み出し、セキュリティコンテキストなしのビジネス決定は不要なリスクを生み出します。セキュリティリーダーは両方をリアルタイムで表示させるシステムを作成する必要があります。」

実行するために、彼のチームは基本を正しく理解することに大きく焦点を当てています。強力なデータガバナンス、動的なポリシー調整、コントロール環境の継続的な検証、セキュリティ改善の頻繁な展開、およびワークフローに組み込まれたコントロールを設計すること。カリファンは述べています。

「スケール規模でのセキュリティは、分離されたコントロールについては何もなく、継続的に適応する回復力があるシステムの構築についてより多くなります。」と彼は述べています。

AIが新しい試練を追加したのと同じくらい、ヘンズレーは人間的要素、および拡大する攻撃面が、最大のセキュリティ上の課題のままであると判断しています。これには、攻撃者と防衛者の間の軍拡競争が含まれます。「高度なソーシャルエンジニアリングは過去最高水準にあり、チームメイトが警戒的であるだけでなく、防御の最初の行動線であることが課題です。」と彼は述べています。

先を行くために、「私たちはセキュリティ認識トレーニング、セキュリティツールで新しい高度なAI機能を有効にすること、およびリスク/リワード評価に基づいてチームメイトに代わってより積極的な行動を取ることを含む、あらゆる角度から取り組んでいます。」とヘンズレーは述べています。

現在のCISO局面に対処するための殿堂入りアドバイス

今日のサイバーリーダーシップの課題に対処するには、CISOが先頭からリードする必要があります。これはヘンズレーとカリファンの両方が実践しています。これは安全で信頼されるAIのみを採用することを意味します。「セキュリティは『ノー』の部門であってはいけません。ビジネスパートナーがより自信を持って速く動くのを支援するべきです。」カリファンは述べています。

先頭からのリードはまた、ステータスクォーに異議を唱えること、およびビジネスパートナー/リスク顧問として自分自身を見ることを意味します。ヘンズレーは述べています。

トルドーにとっては、リスクをビジネス用語に変換できることについてです。

ビジネスに近い位置に留まってください。「あなたが会社がどのように価値を創出するかを理解していなければ、それを効果的に保護することはできません。」カリファンは述べています。「セキュリティリーダーは、単なる技術的リスクではなく、成長、顧客信頼、および業務回復力の言語を話す必要があります。」

トルドーは同意しており、セキュリティリーダーはビジネス成果に直接自分の仕事を整合させる必要があると述べています。「セキュリティが成長から分離されているように見える場合、あなたは常に決定に対応するのではなく、形成する代わりに反応しているでしょう。」

エナイブラーであってください。「最高のCISOはビジネスがより遅くではなく、より速く、より安全に動くのを支援します。」カリファンは述べています。「あなたの仕事はあらゆる場所で摩擦を生み出すことではなく、リスクが最も高い場所で摩擦を生み出し、より良い設計を通じて信頼を増やすことができる場所でそれを除去することです。」

早期にエンゲージしてください。「セキュリティがプロダクトおよびAI開発に関与する方が早いほど、チームの速度を落とさずに結果に影響を与えるためのレバレッジが増えます。」トルドーは述べています。

カリファンはそれを反映しており、データセキュリティ、アイデンティティ、および可観測性が信頼されるAIシステムが構築される基盤であると述べています。ビジネスおよびサイバーチームは、それらの結果が達成されることを確認するために手を取り合って作業する必要があります。彼は述べています。

「それがAI対応の脅威から防御すること、AIインフラストラクチャの保護、またはAIイノベーションのリスクとリワードの評価であるかどうかにかかわらず、セキュリティは展開後ではなく早期に関与する必要があります。」と彼は付け加えています。

積極的にコンプライアンスに対応してください。カリファンは、PayPalのセキュリティ組織が、進化する規制フレームワークに基づいて、継続的にガバナンスと要件を監視および更新していると述べています。

ビジネス問題を解決してください。これは今日のサイバー課題に対処し、CISOとしてのプロフィールを引き上げるための確実な方法です。「セキュリティが信頼、速度、および競争優位性の運転手になると、テーブルでのあなたの席は永続的になります。」カリファンは述べています。

例えば、カリファンは企業全体のボット保護イニシアティブを推進し、それは複数チーム間の協力的で、多チーム的な取り組みであり、詐欺防止を強化しました。これはプロセスの最初の詐欺的トラフィックを大幅に削減し、より高い品質の顧客エンゲージメントをもたらしました。彼は述べています。

話をしてください。AIをセキュアにする方法を理解したい場合、積極的にAIを使用する必要があります。カリファンは強調しています。「セキュリティリーダーは彼らが理解していないものを統治することはできません。実践的な経験は信頼性とより良い意思決定を生み出します。」と彼は述べています。

これにはしばしば、セキュリティを超えた流暢さへの投資が必要であり、AIシステムがどのように機能するか、あなたの会社がプロダクトをどのように構築するか、およびリーダーシップが何を気にするかを理解する必要があります。トルドーは述べています。

一貫性を通じて信頼性を構築してください。「役割の範囲が拡大するにつれて、特にAIの場合、リーダーは理論的リスクモデルではなく、明確で実行可能なガイダンスを求めています。」トルドーは述べています。

チームに『I』はない

今日の課題に立ち上がり、CISO職を引き上げるための中核的な部分には、セキュリティリーダーがチームメイトを一緒に連れていく必要があります。彼らは常にあなたの最大の資源になるでしょう。ヘンズレーは述べています。

「私の軍事経験は私のDNAの一部であり、特にチームメイト開発のやり方、高度に結束した機能するチームの構築、および最も重要なものを優先する方法について、私の人生のあらゆる部分に形を与えました。」と彼は述べています。

人生の多くのことは来て行きますが、他者への影響は世代に影響を与えます。ヘンズレーは付け加えています。彼らはあなたの価値を文化、倫理、基準から先に進めます。

「私の遺産は、私が私のキャリアを通じて一緒に仕えたチームメイトになるでしょう。」と彼は述べています。「セキュリティリーダーが毎日チームに対して行うことができるインパクトに焦点を当てることを促します。それは最終的にあなたのプロフィールを引き上げ、永続的な痕跡を残すのに役立つでしょう。」