CISOとCEOの緊張関係や、緊急時における権限の不明確さがインシデント対応を危険にさらしている。CISOは明確な対応計画だけでなく、ビジネス価値を中心としたリーダーシップの連携も築く必要があるとアドバイザーは指摘している。
約70%のセキュリティ幹部が、危機時の内部対立がサイバー攻撃そのものよりも多くの問題を引き起こすと考えている。
「CISOとCEOの緊張関係、権限の不明確さ、シナリオの未訓練、主要チーム間のコミュニケーションギャップは、ツールや人材への多大な投資にもかかわらず、侵害対応を妨げている」と、480人の米国サイバーセキュリティ上級リーダーを対象とした調査に基づくCytactic 2025年サイバーインシデント対応管理(CIRM)レポートは結論付けている。「権限の曖昧さや責任の変動は、対応を遅らせることが多く、攻撃者自身よりも大きな混乱を生み出している。」
しかし、アナリストやセキュリティ専門家は、多くの問題はサイバー攻撃が全社対応を必要とする以前から存在する、認識や連携の問題に起因していると指摘する。例えば、「CISOの提案はすべて業務を遅らせ、収益目標の達成を困難にする」という誤った認識などが挙げられる。
セキュリティ専門家は、CISOがセキュリティ戦略を策定し、同僚や取締役会にサイバーセキュリティの価値を伝える際に、こうした認識の問題を考慮するよう助言している。例えば、認証の行動分析やその他のパスワードレス保護策を強調することで、CISOは自らのアプローチがより少ない摩擦でより高い保護を提供し、事業部門(LOB)が安全かつ余計なエンドユーザーの手間なく業務を遂行できることを示すことができる。
フォレスターのバイスプレジデント兼主席アナリストであるジェフ・ポラードは、CISOとLOB、CISOとCEOの関係を損なうもう一つの要因として、企業の報酬体系の決定方法を挙げている。このプロセスが意図せずCISOをLOB幹部やCEO、CFOと衝突する道へと導いているという。
「CEOやLOB幹部を考えてみてください。彼らはみな事業部門を運営しているので損益計算書(P&L)を持っています。しかし、CISOの大多数は予算はあってもP&Lは持っていません。これは大きな違いです」とポラードは述べ、この一般的な状況がCISOの部門を単なるコストセンターのように見せてしまうと付け加えている。
この断絶を修正するために、ポラードはCISOがCEOやLOBの同僚に対して「セキュリティ施策が実際に収益や市場シェア、顧客維持に貢献している」ことを大きな声で、そして頻繁に伝える必要があると述べている。
「これらの事業部門に流れ込むすべての顧客は、サードパーティリスク管理のアンケートに回答し、監査を確認しています」とポラードは言う。「CISOができていないのは、その事実を示すことです。例えば『あのツールを導入したのは暇だったからではなく、あなたの顧客の一人が“私たちが使っているあなたのサービスへのWeb攻撃にどう対応していますか?”と尋ねてきたからです』と言うべきなのです。」
ポラードは続ける。「ここがCISOが収益に貢献する部分です。どこかに顧客がいて—おそらく大口顧客が—それを求めていたのです。」
ポラードはセキュリティリーダーに対し、CEOやビジネスの同僚に「私は摩擦を生んでいるのではなく、顧客が私たちに求めていることを実現しているのです」と伝えるよう助言している。なぜそれをしているのか、その理由を示すこと。「それは顧客がそれを求めているからです」と伝えるべきだ。
サイバーセキュリティコンサルタントであり、現在FormerGov(元政府・軍関係者のディレクトリ)のエグゼクティブディレクターを務める元連邦検察官のブライアン・レヴィンは、企業幹部それぞれの異なるアプローチも良いこととして捉えるべきだと主張する。
「対立はあった方がいいのです。異なるインセンティブや動機、専門知識が、会社について異なる視点をもたらし、成功への道を見つける助けになります」とレヴィンは説明する。「まず最初に、その対立自体を問題と見なさないことが重要です。」
CJディーツマン氏(Alliant Insurance Services上級副社長)は、CISOは各事業部門(LOB)が何を必要としているかに注目し、それに対応することに集中すべきだと述べている。つまり、ビジネスを第一に考え、その文脈でサイバーセキュリティに取り組むべきだということだ。CISOが事業部門の幹部の目標達成を支援できれば、サイバーセキュリティは彼らの忠誠と支援を得られ、サイバー危機発生時の内部対立緩和に大きく貢献するだろう。
「自分のビジネスを知れ、CISO」とディーツマンは言う。「サイバーセキュリティを前面に出してはいけない。」
