業界をまたいで活躍するCISOのためのヒント

外から見ると、CISOレベルに到達した人が次の役職に移るのは簡単そうに思えます。結局、すでにトップに上り詰めているのです。しかし、多くのセキュリティリーダーは逆のことを経験します。一度特定の業界に入ると、そこから抜け出すのは難しくなるのです。

経営者やリクルーターは、CISOの経験が現在の業界内でしか通用しないと考えがちです。ファーストバンクのCISOであるマーク・アシュワースは、航空宇宙、ヘルスケア、金融といった分野でキャリアを積んできましたが、こうした現象を何度も目の当たりにしています。

「同じ業界にとどまる人が多いのを見かけます…スタートアップの世界にいる人はスタートアップの世界にとどまり、ソフトウェア開発の人も同様です。大企業に到達すると、そのまま大企業にとどまる傾向があります。一方で、中小企業にいる場合は大企業に入るのが難しいのです。」

この認識は根拠のないものではなく、エグゼクティブ採用の仕組みに根ざしていると、DHRグローバルのグローバル先端技術マネージングパートナーであるサル・ディマルコは言います。「昔は自分の業界にとどまるものでした。工業系の人は工業系、小売系の人は小売系、通信系の人は通信系、ソフトウェア系の人はソフトウェア系。自分のレーンにとどまるのが当たり前でした。」

ディマルコは、過去15年間のテクノロジーの融合によって、この認識が変わり始めていると指摘します。企業向けテクノロジーが業界を超えて標準化されてきたことで、CISOがより自由に業界を移動できるようになったと言います。

「テクノロジーは全ての業界に浸透しています」と彼は言います。しかし、ディマルコは、機会があるだけでは不十分であり、CISO自身がなぜその役割に適しているかを積極的に再定義する必要があると警告します。

では、CISOはどのようにして業界をまたいで成功し、自分のスキルが移転可能であることを証明できるのでしょうか？

コンサルティングから異業界間の共通点発見へ

異業界への転職を目指す人にとって、移転可能なスキルセットの構築は不可欠です。デル初代CISOのティム・ヤングブラッドにとって、適応力は贅沢ではなく必須条件でした。KPMGでコンサルタントとして過ごした初期のキャリアで、彼はサイバーセキュリティに移る前から多くの業界の課題を間近で見てきました。その経験から、業界ごとに独自の特徴はあるものの、セキュリティの基本原則は変わらないことを学びました。

「私は常に多様性こそが人生のスパイスだと信じてきました」と彼は言います。「KPMGで数年間働き、年間30社ものクライアントを様々な業界で担当しました。石油・ガス、ヘルスケア、金融サービスなどです。キャリアが進むにつれ、コンサルティング時代の重要な学びを多く活かしてきました。どんな会社、どんな業界でも自分の知識で成功できると自信を持てました。」

ヤングブラッドと同様に、アシュワースのコンサルティング事業も彼の強みとなりました。彼は、異なる業界間を移動しても、リスクの特定や解決策の発見という主要な目標を見失わずに済んだと語ります。

ヤングブラッドはまた、ヘルスケア、金融、小売、さらには海運など、業界特有の情報共有・分析センター（ISAC）への参加を勧めています。「これらのグループは、官民の情報共有を促進するために政府が設立したもので、他業界が同じ課題をどう解決しているかを知るのに最適な手段です。」

採用の観点から見ると、コンサルティング経験者がCISOに転身する最良の方法は、クライアント企業のCISOになることだとディマルコは言います。「あなたは既知の存在であり、彼らはあなたの働きぶりを見ています。コンサルティブで戦略的で、戦略を実行できる人だと評価されるでしょう。実際に行動を見ているので、企業に迎え入れるチャンスを与えやすいのです。」

コンサルティング経験がないCISOでも、業界を変えたい場合は、ディマルコは構造的な類似点や隣接する業界を見つけることを勧めます。これが最も移行しやすい方法です。彼はこのような転職を「ベビーステップ」と呼び、より大きな業界転換への第一歩だと説明します。

「製薬業界の人をヘルスケア組織に移すことを考えてみてください。モデルは同じではなく、多くの点で違いはありますが、テクノロジーの観点から見るとインフラは似ています。規制環境であり、テクノロジーに関する規制が関わる点も共通しています。」

成果を理解し、証明する

新しい業界に飛び込む際は、過去の肩書きを合わせることではなく、新しい環境でインパクトを生み出せることを証明することが重要です。ディマルコは、早い段階で自分の関連性を示すことが鍵だと言います。

「候補者を売り込む時、私は彼らが何をしたか、どうやってやったか、そしてその業界でどんなインパクトをもたらしたかを説明します」と彼は言います。「もしその実績や方法、組織へのインパクトが、その会社の目指す方向性と合致すれば、『この人がどこから来たかは気にしない。自分の組織でやってほしいことをまさにやってくれた人だ』と思ってもらえる可能性が高くなります。重要なのは結果ですが、異業界に入った場合にどうやって結果を出すかを説明できることも大切です。」

ヤングブラッドは、キンバリークラークのCISOからマクドナルドに移った際、このアプローチを取りました。「外から見ると、誰もがゴールデンアーチを見て、同じような印象を持ちます」と彼は言います。「しかし裏側にはジョイントベンチャーや従来型ライセンス、国ごとのライセンシーなどがあります。CISOとしては、みんなをまとめる必要がありますが、それぞれ少しずつ運営方法が違います。」

運営構造だけでなく、ヤングブラッドは業界特有の脅威にも迅速に適応する必要がありました。「T-Mobileでは、SIMスワッピングが通信業界で大きな問題です。多くの人はその頻度を理解していません。これは10億ドル規模の産業で、時には国家が資金提供していることもあります。中にはバックオフィスで直接個人のIDを乗っ取るものもあり、大きな被害をもたらすことがあります。」

サイバーセルフディフェンスのCEOであるマイケル・メリンは、元々は法執行機関出身で、その後金融サービスやヘルスケアでサイバーセキュリティに携わってきましたが、新しい業界で信頼を築く最速の方法は、リスクの全体像を深く理解することだと語ります。

「同じようなリスクがたくさんあります。結局はリスク管理なのです。どんな分野であれ、私のサイバーセキュリティへのアプローチは、リスクを特定し、それを軽減するための計画を立てることです。」

リスクの全体像を理解していることを示すことで、候補者は大きなアドバンテージを得られます。「自分のスキルが今いる業界から他の興味ある業界にどのように移転できるかを整理し、これまで自分の業界でやってきたことの例を挙げて、それがターゲットとする業界にどう関係しそうかを話し合い、そこから構築していきましょう」とディマルコは言います。

一つの業界に固定されないために

多くのCISOにとって最大のキャリアリスクは、燃え尽きやデータ漏洩ではなく、「一業界専属」と見なされてしまうことです。アシュワースのアドバイスは、移転可能なスキルを示すことに集中することです。「応募する仕事がどんなものであれ、原則はどの業界でも同じだと理解してもらうことが大切です。航空宇宙、ヘルスケア、金融、どの業界でも原則は同じです。それを示せば、一つの業界に固定されることはありません。」

メリンにとって、業界に固定されないためには、新しい業界に移る前からリスクに注目し、次にビジネスを学ぶことが重要です。「キャリアを通じて分かったのは、サイバーセキュリティはリスク管理に他ならないということです。警察官時代はリスクを特定し、適切な対応を取っていました」と彼は言います。「企業のリスクに対処する際も同じです。組織の末端からトップまでステークホルダーと協力し、このリスクにどう対処するかを話し合い、ニーズに合った適切な計画を作ります。」

最終的に、ディマルコは、重要なのは関連性を示し、業界間の共通点を引き出せることだと言います。「結局は候補者の独自性と、他業界との類似点をどう引き出せるかにかかっています。」