CISOにとって最大のリスクとは？部門リーダーの離職

よく聞く話ですが、仕事量が多すぎるのに報酬や評価が足りないという声があります。しかし、CISOの役割がより注目され責任も増している一方で、より多くのことを求められている機能的なセキュリティリーダーたちには、その恩恵が十分に及んでいません。

当然ながら、これがキャリアの進展に対する職務満足度の低下や離職意向の高まりを引き起こしています。CISOにとってこれは重大なリスクです。中間層のセキュリティマネージャーが過重労働や評価不足を感じれば、その波及効果で組織の強靭性、継続性、イノベーションが損なわれかねません。サイバー攻撃がますます巧妙化し、対応も困難になっている今、CISOは機能リーダーの離職というリスクを冒すことはできません。

「機能的なサイバーリーダーには、システムを守るだけでなくビジネス成果を実現することも求められています。しかも新たな規制要求、複雑な技術スタック、限られたリソースの中でそれをこなさなければなりません」と、PayNearMeのCISOであるCarole Lee Hobson氏は語ります。

これにはクラウド、SaaS、AIによる攻撃対象領域の拡大も含まれ、Hobson氏は、機能的なサイバーリーダーが自分では完全にコントロールできないサードパーティ依存のリスクにも責任を負うことになると指摘します。「これに24時間365日体制の業務やハイブリッドワーク環境が加われば、燃え尽き症候群が増加するのも当然です。」

ISACAの最新State of Cybersecurity Reportによると、サイバーセキュリティ専門家の約66％が、現在の役割は5年前よりもストレスが多いと答えており、63％が複雑化する脅威環境を最大のストレス要因に挙げています。さらに、サイバーセキュリティチームの半数以上（55％）が人員不足で、65％が未充足のポジションを抱えていることも明らかになりました。

システム的な課題は続く

有能で献身的な機能的セキュリティリーダーが静かに離職を検討している傾向は、例外的なことではなく、長年この業界に積み重なってきたシステム的な課題の予測可能な結果だと、Centric ConsultingのV-CISOケイパビリティリードであるBrandyn Fisher氏は語ります。

「CISOとして、最も重要な管理層であるディレクターやシニアマネージャーが燃え尽きていくのを目の当たりにしています」とFisher氏は言います。「これは真空の中で起きているのではありません。非現実的な期待、リソース不足、根本的に壊れたキャリアモデルという危険な収束の結果です。」

セキュリティリーダーは持続不可能な前提で業務を行っているとFisher氏は指摘します。「私たちはリーダーに毎回正解を求めますが、攻撃者は一度でも成功すればよいのです。これが24時間365日持続不可能な過度な警戒文化を生み出しています。」

チームは休日や週末もオンコールを求められることが多く、報酬もそれに見合わない場合が多いです。また、重大インシデントが発生すれば4～6週間の対応が必要となり、私生活も犠牲になります。

Monika Malik氏（AT&Tのリードデータ/AIソフトウェアエンジニア）は、機能的リーダーが離職を検討する理由について率直に語ります。多くの場合、プロジェクトの責任を負わされる一方で、ロードマップや人員配置、予算の決定権が与えられていないといいます。

「セキュリティリーダーはリスクを背負いながらも、ロードマップを持たないことで燃え尽きます」とMalik氏は言います。さらに、慢性的なストレスや「侵害パニック、ページャー疲労、侵害後の混乱」などが、報酬で補うよりも早く燃え尽きに繋がると指摘します。

Fisher氏も同意します。「この莫大なプレッシャーは、コントロールの欠如によってさらに悪化します。セキュリティリーダーは、組織の他部門で発生した失敗のスケープゴートにされがちです。例えば、ユーザーがリンクをクリックしたり、開発チームが脆弱性をリリースしたり、経営幹部が誤った判断を下した場合などです。」

機能的セキュリティリーダーは、可視性が限られた環境で脅威に対抗する責任を負わされています。つまり、「利害関係者がリスクを理解していない中で、見えない戦争を戦っている」のです。

もう一つの課題はツールの氾濫で、40以上のセキュリティツールが同じアラートを管理し、連携も不十分だとMalik氏は指摘します。また、プロジェクトでの「役割過多や文脈切り替え」、絶え間ない監査サイクル、レビュー、会議などがキャリア開発の時間を奪っています。「多くの組織ではCISOと『X部門の責任者』という平坦な層しかなく、上位層への明確な道筋がありません」と彼女は言います。

さらにCISOは、常に少ないリソースで多くのことを求めているとFisher氏は付け加えます。「サイバーセキュリティは依然としてコストセンターと見なされがちで、ビジネスを推進するものとは捉えられていません。そのため、予算が最初に削減される一方で、脅威環境は指数関数的に拡大しています。これにより、マネージャーは必要なツールや人材の資金がないまま、企業レベルのリスク緩和の責任を負うという不可能な立場に置かれています。」

CISOができること・すべきこと

状況は絶望的ではありません。CISOが離職を防ぐために取るべき具体的なステップがあります。それはスタッフを優先することです。PayNearMeのHobson氏は、CISOは機能的セキュリティリーダーが多くの役割を担わされているのに昇進の機会が少ないのではないか、育成や定着に十分取り組んでいるか自問すべきだと述べています。

「CIOはリーダーシップパイプライン、後継者計画、セキュリティチーム内の文化的ダイナミクスについて厳しい問いを投げかけるべきです」と彼女は言います。「持続可能なセキュリティリーダーシップを築きたいなら、なぜ多くの人が離職を考えているのかを理解し、対処する必要があります。」

定着は静的なものではなく、運用モデルの追加的な反復が必要なプログラムとして捉えるべきだとMalik氏は言います。CISOはRACI（責任・説明・相談・報告）プロジェクト管理ツールを導入し、機能的セキュリティリーダーに自分のシステムに対する権限を与えることを提案しています。

また、昇進基準や「スポンサーシップ（メンタリングではなく）を経営層レベルで与え、可視性や取締役会への機会を提供する」キャリアパスも必要だとMalik氏は言います。

報酬の一部はリスクへの貢献、例えばパッチ適用までの時間などの指標に連動させ、監査の合否ではなくすべきだと彼女は付け加えます。また、「ツールとテレメトリの健全性」も必要で、CISOはベンダーを統合し、「四半期ごとのキルスイッチ（ツールがMTTR/誤検知削減などの目標を達成していなければ、最悪のケースを想定してツールを廃止または再定義）」を実施すべきだと述べています。

Centric ConsultingのFisher氏は、成功はインシデント対応ではなく、ダウンタイムの防止やシステム保護で測るべきだと考えています。彼が以前勤務していた企業では、セキュリティチームがリスク低減のデータをダッシュボードで公開し始めたことで、エンゲージメントが高まり、離職率が下がったといいます。

「これにより業務の可視性が高まり、チームのモチベーションが再び高まりました」と彼は言います。セキュリティ専門家がプレッシャーで辞めることはあまりありません。「危機がなくなったことで自分たちの成果が見えなくなったときに辞めるのです。」予防が指標として使われれば、より投資意欲が高まり、「セキュリティを無言の裏方ではなく、定量的な成長分野にできる」とFisher氏は述べています。

CISO職は目指すべき役割か？

機能的リーダーにより多くを求めることは、「CISO自身が影響力を求めて苦闘していることの直接的な反映です」とFisher氏は指摘します。CISOが受け入れられないCIOやCOOの下にいる場合や、経営層の席を持たない場合、チームのニーズを効果的に主張できません。

「この無力感は下層にも波及します。マネージャーは自分たちが関与していない戦略や方針を実行しなければならず、しかもチームは人員不足で必要な装備もありません。失敗の責任だけを負わされ、成功のための権限やリソースは与えられていません」とFisher氏は言います。

おそらく最も深刻な問題は、「野心的なセキュリティマネージャーが上を見上げて望まない役割を見ていることです」と彼は付け加えます。「彼らはCISOが24時間365日ストレスにさらされ、他の経営幹部と同じ保護もなく個人責任を負い、役割が求める戦略的リーダーシップのための時間も見つけられずに苦しんでいるのを見ています。」

さらに悪いことに、多くの人がリーダーシップのボトルネックを感じています。Fisher氏は、最も優れた技術者をCISOに昇進させる傾向があると考えています。

「実務経験は貴重ですが」と彼は認めつつも、「多くの場合、戦略的視点やビジネス感覚、リーダーシップスキルが不足しており、成熟したセキュリティプログラムの構築や次世代リーダーの育成ができません。ビジネスと連携した戦略家を目指すマネージャーにとっては、これがキャリアの天井を作ります。必要な経験に見合わない中間層の給与で苦労し、意味のあるキャリアアップの道を示せないリーダーの下で働き続ける理由はありません。」

サイバーセキュリティ分野でのキャリアパスは再定義が必要だとHobson氏も同意します。「CISO職という狭い梯子を登るだけではありません。そのレベルの席は限られており、分野の進化も速いため、それだけが唯一の道ではありません。」

「従来のCISO職以外にも多くのやりがいある道があります」と彼女は言い、AIガバナンス、アーキテクチャ、リスクなどの分野を挙げています。プライバシー、脅威モデリング、AIガバナンスなどの分野で深く専門性を高める横方向の成長も、同じくらい価値があり充実したものだとHobson氏は述べています。

機能的リーダーが自分の仕事に意義を見出せるよう支援する

大量離職を防ぐには、CISOは根本的にフォーカスを転換しなければなりません。

機能的リーダーが過重労働であることを認識するだけでは不十分だとHobson氏は言います。「CISOは業務量を再構築し、成長を優先し、チームが戦略的に組織に影響を与えられるようにすべきです。高ストレスな役割は、プロフェッショナルとしての関与とバランスを取る必要があります。」

Malik氏と同様に、Hobson氏もCISOは「意味のある委任」を行い、燃え尽きを防ぎ、機能的リーダーに真の自律性を与えるべきだと述べています。「強いリーダーを単なる伝達役にしてしまうほど燃え尽きを早めるものはありません。」

CISOの役割は、リーダーが自分の仕事に意義を見出し、関与し続けられるよう、さまざまな道筋でレジリエンス、帰属意識、知識を育むことだとHobson氏は言います。

「それは明確さから始まります。機能的リーダーが自分の責任がどのようにビジネス戦略を直接支えているかを理解し、セキュリティがすべての企業にとって戦略的優位性であるべきだと強調することです」と彼女は言います。

「私たちの主な仕事はリスク管理だけでなく、強靭で持続可能な組織を築くことです」とFisher氏は強調します。「それはまず、人材を燃え尽きから守り、取締役会でセキュリティのビジネス価値を主張して必要なリソースを確保し、マネージャーを戦略的リーダーへと積極的に育成することから始まります。」