CISOの成功は、CIOとの連携し、強固で柔軟なパートナーシップにかかっています。自分たちの関係が損なわれており、意図的な修復が必要かどうかを見極める方法をご紹介します。
セキュリティとITの協力が求められているにもかかわらず、CISOとCIOの関係は必ずしも順調とは言えません。
これは新任CISOが足場を固めようとしていることだけが原因ではありません。ガートナーの調査によれば、経験2年未満のCISOの約3分の1がCIOと主要なセキュリティ関連分野で対立を報告している一方で、5年以上の経験を持つCISOの半数は、組織のサイバー・レジリエンスの向上や企業のサイバーリスク許容度の交渉など、同じ分野のほとんどで対立を報告しています。
ガートナーのサイバーセキュリティ調査チームの副社長でコンテンツリーダーのChristine Lee氏は、対立はCIO-CISO関係が壊れている兆候である場合もありますが、必ずしもそうとは限らないと述べています。
実際、研究者や経験豊富な経営幹部、エグゼクティブアドバイザーによれば、CIOとCISOが協調していないことを示す他の兆候の方がより明確な指標となる場合があります。
問題の兆候
セキュリティリーダーやアドバイザーは、CISOに対し、CIOとの関係で対処すべき問題があることを示す以下の兆候を挙げています:
1. CIOがCISOの提案や決定を無視または覆すことが多い。 テクノロジー企業TranscendのCISOインレジデンスであり、UnitedHealth Groupの元CISOであるAimee Cardwell氏は、この状況はCIOが「ご意見ありがとうございますが、私たちは結局自分たちのやりたいようにやります」と言う形でよく現れると述べています。
2. CIOとCISOが対立を解決できない。 対立は組織を前進させるために健全な場合もあります。多様な視点や意見は、経営幹部に新たな可能性や妥協点をもたらし、組織全体に利益をもたらすことがあります。
しかし、CIOとCISOが意見の相違を上層部にエスカレーションせずに解決できない場合、根本的な問題が生じている可能性があります。「肩を並べているのか、それとも鼻を突き合わせているのか?鼻を突き合わせているなら、それは不一致の証拠です」とCardwell氏は言います。
ガートナーの調査によると、経験豊富なCISOの87%が、対立解決に関してCIOとの関係を「良好」または「非常に良好」と評価しています。ガートナーのLee氏は、この数字は対立自体が問題のある関係を意味するわけではないことを示していると述べています。むしろ、「進展できない、または合意に至れないことこそがCIO-CISO関係が壊れている兆候です」と彼女は言います。
3. CIOが情報を共有しない。 「これは非常に大きな赤信号です」とTranscendのCardwell氏は言います。
4. CIOがCISOの取締役会へのメッセージを改ざんまたは妨害する。 CISOが定期的に取締役会に直接報告しないだけでも問題ですが、CIOがCISOが取締役会に伝えるべきだと考える情報を変更している場合は、さらに深刻ですとCardwell氏は言います。
「これは『もっと良い表現ができる』とか『もっと良いストーリーの伝え方がある』といったアドバイスを超えています。単なるCIOの指導ではなく、CISOとして伝えるべき事実を削除したり、倫理的な問題を引き起こしかねない変更を加えたりすることです」と彼女は説明します。
5. CIOが他の方法でCISOの取締役会や他の経営幹部へのアジェンダを妨害する。 「CIOがCISOの信頼性や意見を積極的に損なっている場合、CIOがCISOと取締役会や経営陣との会話をすべて仲介している場合、それは良い兆候ではありません」とLee氏は言います。
ここでの問題には、CIOが重要な会議や組織のIT戦略全体でCISOの優先事項を支持しないことも含まれます。
6. ITに関わるビジネスイニシアチブについてCISOが相談されない。 本来、ITイニシアチブにおける真のパートナーシップとは、CIOとCISOが最初から協力することです。しかし、CISOが重要な技術プロジェクトについてプロセスの後半や、質問して初めて知るような場合は、関係を見直す必要があります。
「新しいプロジェクトやベンダー、移行について誰かが話していて、CISOがそれについて何も知らない場合、それは問題です。なぜなら、その時点でセキュリティを後付けしているからです」と、ソフトウェア企業RegScaleのCISOであるDale Hoak氏は言います。「良好な関係では、継続的な会話とダッシュボードの共有があるため、驚きはありません。」
7. 1対1の会話がない。 LevelBlueのCIOであるMaria Cardow氏は、CIOとCISOがメールやグループ会議、または部下を通じてのみ情報を共有している場合(情報が上に伝わることを期待している場合)、健全な関係とは言えないと述べています。
「私たちの前にはあまりにも多くの情報があるため、直接話さない理由はありません。定期的かつ臨時の会話に勝るものはありません」と彼女は言います。
8. CIOとCISOがお互いの優先事項、課題、戦略などを知らない。 「CIOとして、CISOの懸念事項をよく把握しているべきですし、CISOも私の世界で何が起きているか知っているべきです」とCardow氏は言います。
9. CISOとCIOが、誰がどの仕事をすべきかで衝突する。 もう一つの問題の兆候は、共同責任のある分野で一方が他方を責める場合です。
10. 一方が、もう一方がすでに持っている機能を持つ技術を購入する。 この兆候は両方向で起こり得ますが、関連する問題として、CIOがCISOに購入すべき製品や利用すべきベンダー、サービスプロバイダーを指示する場合もあります。
「場合によっては、それがセキュリティにとって正しい答えかもしれませんが、そうでない場合もあります」と、EYのアメリカ地域サイバーセキュリティ・コンピテンシーリーダーであるAyan Roy氏は言います。「ただ指示されるだけでは、適切な分析が行われていないことを意味します。CIOはCISOに最適なソリューションを選ぶ裁量を与えるべきです。CISOは評価を行い、最善の選択ができる必要があります。」
11. CIOがサイバー衛生を優先していない。 ここで最もよく見られる兆候の一つは、セキュリティチームが特定し、優先的に修正すべきとした脆弱性のパッチ適用を怠ったり、見送ったりすることです。
12. 技術製品がセキュリティの欠陥やコントロールの抜け穴を抱えたままリリースされることが多い。 「その場合、『なぜ製品設計ライフサイクルの段階でそれを見抜けなかったのか』という疑問が生じますが、答えはたいていITとセキュリティの協力不足です」と、グローバル決済・為替会社ConveraのCISOであるSara Madden氏は言います。
CIO-CISO関係の重要性
アドバイザリーファームApogee Global RMSの創設者兼主席アドバイザーであり、Google CloudのCISOオフィス元ディレクターのMK Palmore氏は、CIOとCISOはどちらも成功するために強い関係が必要だと言います。
「この2つのポジションにいる者同士がうまくやっていくことは非常に重要です。単に友好的であるだけでなく、協力的でなければなりません」と彼は言います。確かに、それぞれの領域やタスク、目標は異なりますが、現実にはどちらも相手なしでは仕事を成し遂げることはできません。「だからこそ、お互いに頼り合い、頼る必要があることを認識しなければなりません。」
さらに、CIOとCISOが友好的かつ協力的でない場合、苦しむのは彼らだけではありません。Palmore氏や他の専門家は、CIO-CISO関係が悪いと、その部門や組織全体にも悪影響が及ぶと指摘します。
「CIO-CISO関係がぎくしゃくしていると、目標や優先順位、コミュニケーションにおける不一致として現れます」と、Booking.comのCSOであるMarnie Wilking氏は言います。「テクノロジーとセキュリティのリーダーが同じ方向を向いていないと、運用や成果の両面で明らかになり、プロジェクトの締切遅延や脆弱性の増加につながります。」
関係が悪化する要因は複数あります。
まず、セキュリティ部門は今でも「ノー」と言う部門と見なされがちであり、実際にそのように振る舞うこともあるとCardwell氏は言います。「CIOは『ノー』と言う贅沢を持ちません。CIOの仕事は、ビジネスがやろうとしていることを実現することです。だからCISOもその考え方を持つ必要があります。『ビジネスがこれをやりたいなら、自分の仕事はそれをどう実現するかを考えることだ』と」と彼女は説明します。
たとえセキュリティ部門が「ノー」と言う部門でなくても、CISOが「イエス」に至るまでに時間がかかりすぎる場合もあるとCardwell氏は言います。
「問題の内容によっては、迅速に問題を解決する方法は100通りあります」と彼女は言います。「CISOとして私は、価格やスケジュール、セキュリティスコアなどが異なる複数の解決策を提示し、最速だが最も安全でないものから、最も安全だが時間がかかるものまで、CIOやビジネスに選択肢を提供したいと考えています。」
関係が悪化するもう一つの理由は、CIOがセキュリティを十分に重視していない場合です。「CISOがセキュリティだけを重視し、ビジネスの実現を考えていない場合もあれば、CIOが全くセキュリティを意識せず、ビジネスの実現だけに集中している場合もあります」とPalmore氏は言います。
他の場合には、CIOがIT全体を厳格に管理し、セキュリティを排除したり、その逆もあります。「一部のセキュリティリーダーは、自分だけがセキュリティを担っていると考え、孤立してしまうことがあります」と、マネージドセキュリティサービスプロバイダーLevelBlueのチーフセキュリティ&トラストオフィサーであるKory Daniels氏は言います。
専門家によれば、CIO-CISO関係が悪化する他の要因は、より構造的なものです。
組織がそれぞれの役割と責任を明確に定義していない場合もあります。「役割と責任が明確でないと、責任の重複や抜け漏れが不要なリスクを生み出します」とWilking氏は言います。
また、組織の予算配分プロセスが、CIOとCISOを「同じ資金を巡るライバル」にしてしまう場合もあるとCardow氏は言います。
こうした問題の多くは、Wilking氏が「企業リスクに関する共通の文脈や整合性の欠如」と述べるものに起因しています。
「CIOは通常、稼働率、拡張性、機動力で評価される一方、CISOはデータ保護、コンプライアンス遵守、脅威の軽減に注力します。これらの優先事項がどのように交差するかを統一的に捉えなければ、両者は対立しているように見えることがあります」と彼女は説明します。「サイバーセキュリティが真のパートナーではなく、門番のように扱われることが多すぎます。チームワークが協力的ではなく、取引的に感じられてしまいます。Booking.comでは、サイバーセキュリティをビジネス戦略に最初から組み込むことを重視し、製品設計、データ、顧客信頼に関するあらゆる会話の一部としています。」
関係悪化を改善するには
CIOとCISOの双方に、問題のある関係を改善するインセンティブがあります。
Lee氏は次のように説明します。「CIO-CISO関係は非常に重要です。両者が効果的にパートナーシップを築かなければ、組織のテクノロジーおよびサイバーセキュリティの目標は達成できません。すべてのテクノロジーにはサイバーセキュリティ上のリスクが伴い、それがテクノロジーやビジネスの成果に影響を与える可能性があります。だからCIOはサイバーセキュリティを重視しなければなりませんし、CISOはサイバーセキュリティがビジネス成果のために存在していることを理解しなければなりません。つまり、互いの優先事項を達成するために協力し合う必要があるのです。」
CISOは、AIや経済の不確実性など、現在起きている変化をきっかけに、CIOとの関係を見直し、リセットし、協力を妨げてきた問題に対処する機会として、より良い関係を築くための行動を取ることができます。
CISOが取るべきステップは以下の通りです:
- CIOおよびC-suiteや取締役会のメンバーと、組織のリスクに対する立場について整合性を確立する。
- セキュリティが組織の戦略やITロードマップと整合していることを確認する。 TranscendのCardwell氏は「CIOには素晴らしいものがある。私はそれをどうやって安全にするかを考えたい」と考えることがCISOには重要だと言います。
- CIOとCISOの責任範囲を明確にする。「どこに線が引かれているか明確にする必要があります」とLevelBlueのDaniels氏は言います。
- CIOとの定期的かつ臨時の直接コミュニケーションを優先する。
- 関係管理に注力する。「コミュニケーションを取り、会うことをいとわず、チーム同士も会わせ、信頼を築くことです」とDaniels氏は言います。
- CIOの優先事項、インセンティブ、課題を理解し、自分のものも共有する。「相手の立場になって考える方法を見つけましょう」とDaniels氏は付け加えます。
- ビジネス実現を重視するマインドセットに転換する。「『ノー』から始めるのではなく、『どうやって安全に実現するか』から始めましょう」とRegScaleのCISO Hoak氏は言います。
