セキュリティリーダーと業界専門家がCISOの社内での影響力の複雑な計算について意見を述べる。
CISOが重大なセキュリティインシデントにどう対応するかは、キャリアの成否を分ける瞬間となり得る。
例えば、4人に1人のセキュリティリーダーがランサムウェア攻撃後に交代を余儀なくされる一方で、他のCISOはインシデントを乗り越えた経験—透明性があり成功した結果を伴うもの—が採用市場でますます求められていることに気づいている。
最近の調査でもこの点が強調されており、65%のセキュリティリーダーがインシデント対応を主導したことで社内での評価が高まったと答え、評価が下がったと答えたのはわずか5%だった。
Cytacticの調査によると、米国の上級サイバーセキュリティリーダー480人(うちCISO165人)を対象に、「適切に管理されたインシデント対応は、セキュリティが収益、ブランドの評判、そして極度のストレス下での事業継続性を守るビジネスの推進力であることを示す。成功した対応を主導したCISOは、自身の評価だけでなく、セキュリティプログラム全体の価値認識を高める」としている。
同レポートはさらに、「適切に管理されたインシデントは、レジリエンス、能力、プレッシャー下での冷静さを示し、これらは取締役会やCEOから高く評価される」と付け加えている。
リピートCISOのMichael Oberlaenderは、成功した防御の後、社内での尊敬が高まったことを身をもって体験したという。
「会議中に発言し、少し声を上げて話すと、部屋全体が静まり返り、皆が耳を傾けてくれました。時には自分の言ったことが伝わっていないのかと人々の顔を見て確認したこともありましたが、実際には皆が注意深く聞き入っていたのだと気づきました」と彼は語る。「事業部門のリーダーたちも、私の話により耳を傾けてくれるようになりました。」
Oberlaenderは、「大きな危機の際には小切手にサインする全権限を与えられた」とし、防御の成功後、財務部門も彼の要請をより真剣に受け止めるようになったと述べている。
サイバーセキュリティコンサルタントのBrian Levineは、元連邦検察官でFormerGovのエグゼクティブディレクターを務め、以前はEY-Parthenonのサイバーセキュリティ部門マネージングディレクターだったが、成功した防御の後にCISOが期待できる唯一の具体的な改善は予算面での優遇であり、それもCISOへの新たな賞賛によるものではなく、大きな攻撃が起きて防御強化が必要になったからだと主張する。
Levineによれば、一部のCISOにとって問題は可視性とコミュニケーションにあるという。彼は大規模なランサムウェア攻撃を受けた企業の例を挙げる。CISOのチームによる事前の優れた対応により、何も失われなかった。すべてが完璧にバックアップされていた。では、なぜCISOはヒーローとして称賛されなかったのか?
「彼は数ヶ月にわたり取締役会—おそらくCEOにも—自分のチームが1日に約5万件の攻撃を防いでいると伝えていました。だから本当に1件を防いだとき、取締役会は肩をすくめるのです」とLevineは言う。CISOは「会社が常に攻撃を受けているという認識をある意味で常態化させてしまっている。それは確かに事実ですが、取締役会が1件の攻撃を防いだことで大騒ぎするのは非常に難しいのです。」
防御の正当性を擁護する
さらに、この問題は次の疑問を投げかける。なぜセキュリティリーダーは大きなサイバーインシデントを経験しなければビジネスの同僚から尊敬を得られないのか?
Jeff Pollard氏(ForresterのVP兼主席アナリスト)は、この企業の認識の問題は「人間の本質の一部にすぎない。悪いことが実際に起こらなければ、それを防ぐために行われたすべての努力を評価しない」と語る。
もちろん、攻撃がインシデントに発展し、防御がうまくいかなければ、「ヒーローの瞬間がスケープゴートの瞬間に簡単に変わり得る」とPollard氏は言う。
現在はサイバーセキュリティコンサルタントとして活動するOberlaender氏も、苦労して得た経験は報われるべきだと考えているが、現状の市場ではそうなっていないと見ている。
Oberlaender氏は「歴史的に見て、賢い企業はCISOのポストに新人を据えることはなく、実戦経験が豊富で本当に経験豊かなCISOを採用してきた」と語る。「しかし残念ながら、現在のビジネス環境では逆のことが起きている。企業は安価で経験不足、資格不足、知識不足、そしてしばしばいわゆるバーチャルCISOをわずかな給与で雇い、なぜデータ漏洩や管理不十分なインシデントが頻発するのかと首をかしげている。」
一方で、他の業界専門家は、セキュリティリーダーがビジネス内での地位を強化するための他の方法もあると示唆している。例えば、顧客獲得や維持という観点で提供する財務的価値に注目することなどだ。
CISOは「攻撃を撃退して価値を示さなければならないと感じているが、他にも多くの成功事例を作り、示すことができる」とErik Avakian氏(Info-Tech Research Group テクニカルカウンセラー)は語る。「KPIの構築は自分たちの価値を示す強力な方法だ。」
「(CEOや他の経営陣に)これらのツールがコスト回避という観点で何をもたらしているかを示しましょう」とAvakian氏は語り、メールスパムフィルターを低レベルの例として挙げる。「これらのフィルターがなければ、はるかに多くのメールが従業員の受信箱を埋め尽くし、効率や生産性が低下します。」
他の経営陣は「金額で理解する」が、問題は多くのCISOが「実際のKPIを使ってその価値を金額にまで落とし込んで示そうとしない」ことだとAvakian氏は言う。
Chris Jackson氏(教育系ベンダーPluralsightの上級サイバーセキュリティスペシャリスト)は、企業の多くのCISOが同僚や上司から適切な尊敬を受けていないことに対するフラストレーションを強調する。
「CISOはプロスポーツのコーチにとても似ています。シーズン中どれだけ良い成績を残し、何試合勝とうが、優勝できなければ失敗と見なされ、コーチは最初に責任を取らされることが多い」とJackson氏は語る。「同じように、CISOは10年間侵害がなくても、たった1件のインシデントで任期が終わることがある。CISOはあまりにも頻繁に都合の良いスケープゴートにされてしまうのです。」
