チーフインフォメーションセキュリティオフィサー(CISO)の役割は、企業のレジリエンスを管理する戦略的リスクアーキテクトへと進化しています。
thanmano – shutterstock.com
長年にわたり、CISOはITの現場で規制遵守、ファイアウォールの管理、パッチ適用、インシデント対応に注力してきました。彼らの主な目標はサイバー攻撃を防ぎ、セキュリティを維持することでした。しかし、このモデルでは現代の複雑な脅威には対応できなくなっています。NIS2、DORA、AI法などの重複する規制や、グローバルな不安定さが広がる中で、CISOの役割は運用的な起源を超えて発展しています。
チーフリスクアーキテクトの導入
将来を見据えたCISOは、レジリエンスを軸にリードするビジネス志向のリーダーです。チーフリスクアーキテクトとして、彼はインシデント数ではなく事業継続性に責任を持ちます。障害が起こることを前提に、その影響を最小限に抑え、それに耐えうるシステムを構築します。この役割には新たな問いが生まれます。どれだけ早く、最小限のビジネス影響でデータや業務を復旧できるか?私たちの復旧の基準は何か?レジリエンスを監督当局、パートナー、株主にどう証明するか?これらはITの課題ではなく、ビジネスの必須事項であり、サイロを超えてリードできる人材が求められます。
新時代に求められる新たなスキル
この進化には新たなスキルが必要です。サイバーセキュリティや技術的専門知識は依然として重要ですが、リスクの定量化、エンタープライズリスクマネジメント、脅威検知、地政学的知識、法規制への理解と組み合わせる必要があります。現代のセキュリティ責任者は、ビジネス継続性や災害復旧にも精通し、インシデント対応だけでなく、法務、監督当局、取締役会の言語を理解し、責任のダイナミクス、サプライチェーンリスク、デジタル連携の隠れた脆弱性も把握する必要があります。
役割の再定義は人材確保の鍵
今日のCISOには、自分でコントロールできないセキュリティ侵害の防止や、自分の責任外のリスクへの対応が求められています。そのため、多くのCISOが燃え尽きているのも不思議ではありません。一部はこの職業自体を離れています。ドイツでは金融業界のCISOの67%が、セキュリティ分野のポジション確保がますます難しくなっていると答えており、これはこの職業の将来性に疑問があることを示しています。
このギャップを生む要因として見落とされがちなのが組織構造です。CTOやCFOに報告するCISOは、企業リスクに関する意思決定に必要な戦略的な可視性や影響力を持てないことが多いのです。技術や財務のサイロに縛られ、システミックなリスクを傍観者として管理することを強いられ、積極的に関与できません。効果的にリードするには、セキュリティ責任者が取締役会やCEOと直接連携し、インシデントのエスカレーションだけでなく、レジリエンス戦略の策定段階から関与する必要があります。チーフリスクアーキテクトへの進化はスキルだけの問題ではなく、意思決定の場に席を持つことも重要です。CISOが誰に報告するかが、リードできるか、単なる対応に終わるかを左右するのです。
CISOを戦略的で権限あるリスクリーダーへと「リブランディング」することで、これを変えることができます。それにより、より大きな影響力を持つ道が開けます。役割はより未来志向となり、受動的ではなくなります。また、この職業自体が進化し、次世代のリーダーを引き寄せる助けにもなります。つまり、単に技術的な問題に対応するだけでなく、ビジネス課題を解決したい人材が集まるのです。
未来はすでに始まっている
チーフリスクアーキテクトへの変革は、仮想的な話ではありません。先進的な企業ではすでに始まっています。そこではリーダーたちは取締役会に招かれるのを待つのではなく、ビジネス継続性を保証する有意義な指標や計画を持って自ら行動しています。彼らは「レジリエンス・バイ・デザイン」を推進し、警告ではなく成果で影響力を高めています。
CISOの役割が消えるわけではなく、進化していくのです。企業はこの変革を主体的に進めるか、取り残されるリスクを取るかの選択を迫られています。(jm)
翻訳元: https://www.csoonline.com/article/4072083/vom-ciso-zum-chief-risk-architect.html
