出典:_Cavan_Images(Alamy Stock Photoより)
組織が規制圧力の高まり、絶え間ないサイバー攻撃、そして加速するデジタルトランスフォーメーションに直面する中、CISOがCEOや取締役会と効果的に連携できる能力はこれまで以上に重要になっています。実際、これはセキュリティプログラムをビジネス目標や経営陣の期待と一致させるための重要な要素です。
CEOや取締役会との「効果的な関係」とは、実際にはどのようなものなのでしょうか?そのような関係はどのように構築し、維持されるのでしょうか?現代のCISOが経営層と関わる際の戦略やベストプラクティスを探っていきましょう。
最近の調査では、CISOがCEOや取締役会にアクセスできるかどうかについて、企業間で大きな違いがあることが明らかになりました。IANSとArtico Searchによるこの調査では、830人のCISOを対象に、役割、報酬、仕事の満足度、取締役会との関与、キャリア開発について調査しました。
まず、良いニュースから。調査によると、CISOの28%がCEOに直接報告しているか、企業の階層で高い地位に就いています。これらのCISOは取締役会とも定期的に関与しており、少なくとも四半期ごとに全体会議や委員会のメンバーとして会合を持っています。
残りのCISOはあまり良い状況ではありません。回答者のちょうど50%は、C-suiteへのアクセスか取締役会での影響力のいずれかには優れていますが、両方ではありません。残りの22%は、組織内での地位が低く、取締役会への参加も散発的なため、経営層へのアクセスが限られています。
専門家によれば、CISOやC-suiteの影響力が弱いと、セキュリティは常に後手に回り、セキュリティチームが知らなかった変更に遅れて対応することになります。
「今日のビジネスのスピードと複雑さを考えると、こうした関係を築いておくことでビジネスと連携し続け、自分自身もビジネスに合わせて調整する必要があります」とNoma SecurityのCISO、ダイアナ・ケリー氏は述べています。
必要になる前に関係を築く
関係構築は単なるソフトスキルではなく、戦略的なものです。ケリー氏は、戦略的に連携すべき組織内の経営陣と定期的にミーティングを設定することを過小評価しないよう助言しています。
「定期的に連絡を取り、つながりを保ち、良好な関係を築いてください」とケリー氏は言います。「CISOはしばしば多くの関係構築を行うと私は考えていますが、非常に技術的かつ戦術的になりがちです。」
良好な信頼関係、あるいは少なくとも緊密な関係を持つことは、特に悪いニュースを伝える際に重要です。CISOはしばしばその役割を担う必要があります。
「一番避けたいのは、知らない人に悪いニュースを伝えようとすることです」とケリー氏は言います。「もし侵害が発生したり、何か問題が起きた場合、それが初めてその人と話すタイミングであってはなりません。」
専門家へのインタビューで繰り返し挙がったテーマの一つは、CISOが技術的リスクをビジネスリスクに翻訳できる能力の必要性です。歴史的に、企業はCISOとCEO・取締役会の間で、データ侵害や規制ガイダンス、詐欺対策に関するコミュニケーションの断絶が大きいと述べていると、Unit221Bの法務顧問マーク・ラッシュ氏は説明します。
「CISOはリスクを取締役会にどう伝えるか分かっておらず、取締役会もセキュリティの指標をどう理解すればいいか分かっていません」とRasch Technology and Cyberlawの代表であるラッシュ氏は言います。「CISOは、“リスクやセキュリティの観点で私たちはどうなのか?”という問いに、意味のある形で答えられる必要があります。」
相手を知り、メッセージを調整する
今日の不安定なリスク環境を乗り越えるCISOにとって、組織構造と取締役会の期待の両方を繊細に把握することは不可欠です。小規模な企業では、セキュリティリーダーがすべての取締役会に参加し、経営陣に直接説明し、最前線からリスク議論を主導することが期待される場合が多いです。この役割には、卓越した準備、確信、そして複雑なサイバーセキュリティ課題を明確なビジネス用語に翻訳する機敏さが求められます。
一方、大企業のCISOは取締役会メンバーと年に一度しか関わらない場合もあります。それでも、戦略的かつインパクトのあるリスク報告を行い、セキュリティの優先順位を明確にし、ビジネス目標との整合性を示さなければなりません。
企業規模にかかわらず、最も効果的なCISOはまず、誰が主要な意思決定者なのか、リスク許容度がどのように形成されているのか、そして聴衆が何を期待しているのか(直接説明か裏方での準備か)を把握することから始めます。このダイナミックなアプローチは、信頼性を高めるだけでなく、セキュリティ戦略が経営陣と一致し、CISOの役割を技術専門家から信頼されるリスクアドバイザーへと高めることを可能にします。
経営陣にサイバーセキュリティリスクを伝える際は、技術的な詳細よりも明確さが重要です。特に取締役会やC-suiteレベルの上級リーダーは、「私たちは大丈夫か?」という根本的な問いに対する直接的な答えを求めています。セキュリティリーダーは、今後の組織のレジリエンスを左右する重要な項目を特定し、説明することが求められます。
例えば、取締役会にプレゼンテーションを行う際、CSA AI Security Allianceの議長であり元RobinhoodのCISOであるカレブ・シマ氏は、あまりにも戦術的になりすぎないよう警告しています。
「進捗報告をするのではありません。彼らはあなたがサイバーセキュリティとリスクを理解しているから雇ったのです。組織をあるべき姿にするために何が必要かを直接伝えてください」とシマ氏は説明します。「今後6か月でやるべき3つのことを伝えてください。そうしなければ組織は悪いセキュリティ状態に陥るでしょう。」
CISOにとって中心的かつ繰り返し現れる課題は、専門的な助言を提供することと、重要な意思決定を会社の経営陣に委ねることのバランスを取ることです。
「CISOは、CISOが提供できるインプットや助言と、CISO自身が意思決定できる範囲のバランスを知っておく必要があります」とシマ氏は言います。「最終的に、会社のリスク許容度やセキュリティプログラムの優先順位は取締役会とCEOに委ねられます。CISOはその戦略目標に到達するための道筋を示すのです。」
経営陣との重要な対話の場が訪れたとき—多くの場合15~30分という限られた時間内で—専門家の助言は、メッセージを一つの主要な要望と進捗を強調するシンプルなビジュアルに絞り込むことです。
「とにかくシンプルにする必要があります。プログラム開始時にFやDだったものが、今はBまで成熟した、といった具合に説明してください。そして今ここにいるので、さらに成熟しリスクに対応し続けるためにこれが必要だ、という要望を伝えるのです」とシマ氏は述べています。
最終的に、明確さ、適切な緊急性、ビジネスリスクへの関連性をもってコミュニケーションすることが最も重要です。CISOは複雑な現実を、取締役会や経営陣が理解し、会社を正しい方向に導くために活用できる、実行可能でビジネス志向の助言へと要約しなければなりません。
CISOと取締役会の間で強固かつ積極的な関係を維持することで、組織はセキュリティ課題により迅速かつ自信を持って対応できます。信頼、コミュニケーション、そして組織のレジリエンスへの共通のコミットメントこそが、堅牢なセキュリティプログラムの核となります。サイバーセキュリティは孤立した分野ではなく、戦略的リーダーシップの不可欠な機能であることを再確認させてくれます。
