CISOが次世代のサイバーリーダーを育成する方法

サイバーセキュリティリーダーは、チームが成果を出し、リスクが管理されているかという日々の業務に追われ、同じ専門家たちを次世代のリーダーへと育てる機会を逃しがちです。

しかし、サイバーセキュリティが今やビジネスに不可欠な機能として確立されたことで、より多くのCISOが将来のリーダー育成に目を向け始めています。多くのCISOが現場で学びながらキャリアを積んできた一方で、現代のリーダーたちは、より意図的かつ個人的なアプローチで明日のリーダーシップパイプラインを育てています。

「リーダーとしてのキャリアの中で、一度立ち止まり、自分の学びをじっくり振り返ることは健全だと思います」と、Silicon Valley Cyberの創設者であり、SplunkやOktaの元CISOであるYassir Abousselham氏は語ります。「また、同僚にも彼ら自身の学びについて尋ね始めるべきです。」

Abousselham氏は、自身のリーダーシップ経験の多くが、現場での学びや失敗からの学び、何がうまくいき何がうまくいかなかったかの観察によって形成されたと説明します。サイバーセキュリティには技術的なトレーニングプログラムが数多く存在する一方で、サイバーセキュリティの専門家がリーダーシップへ移行するのを支援するものはほとんどないと指摘します。

しかし経験があっても、他者のリーダーシップスキルを育てるには「アート」が必要だと強調します。Abousselham氏は、CISOはチーム内のリーダーシップ育成に意図的に取り組み、公平に行う必要があると言います。「特定のメンバーをひいきしているように見えないよう、チーム全員の成長を育み、投資していることを確認しなければなりません」と語ります。

そのプロセスは、チームメンバーの強みを把握し、さまざまなスキルにおける成長分野を特定することから始まると説明します。また、キャリアプランニングやプロフェッショナルな成長にのみ焦点を当てた定期的な1対1の面談を設定することの重要性を強調しています。

あるケースでは、彼は人前で話すことが苦手なリーダーを指導しました。問題を避けるのではなく、Abousselham氏はそれを個人的な課題とし、徐々にスピーチの機会を増やし、アイデアの構成方法のフレームワークを提供し、聴衆へのアプローチ方法を指導しました。

「限界に挑戦し、『できない』という答えを受け入れないことも大切です」と彼は言います。「もしあるスキルがリーダーの成長に極めて重要だと感じたら、それを優先事項にしましょう。そのスキルの進歩を継続できるよう、目標を設定するのです。」

リーダーシップの道筋に構造を持たせる

Abousselham氏がパーソナライズされた実践的な人材育成を推進する一方で、他のCISOはスケールに応じて新たなリーダーを支援するため、より体系的な道筋を構築しています。PayPalのCISOであるShaun Khalfan氏のように、体系的な育成がキャリアの一部であった人もいます。彼は国防総省やAmerican Council for Technologyが実施する正式なリーダーシップトレーニングプログラムに参加し、現在はその知見をPayPalのサイバー人材パイプラインの構築に活かしています。特に女性や中堅リーダーの育成に重点を置き、正式・非公式の社内プログラムを組み合わせて支援しています。

「組織全体で女性リーダーを育成する道筋や機会をどう作るか、そして彼女たちが自分の声を活かす方法をどう指導するかが重要です」とKhalfan氏は語ります。

Khalfan氏は、リーダーシップ開発は現代のサイバーセキュリティの現実を反映しなければならないと考えています。もはや技術的な信頼性だけでは十分ではありません。今やセキュリティリーダーは、取締役会レベルを含むビジネスのあらゆる部門と関わる必要があります。

「特にサイバーセキュリティは長年、バックオフィスの技術的なエンジニアリング機能と見なされてきましたが、CISOがビジネスリスクリーダーとなったのは最近のことです」と彼は言います。「サイバーセキュリティは今や多くの企業でトップ3のリスクの一つであり、もはやエンジニアリングやガバナンス、リスク管理だけの問題ではありません。会社全体に関わるリスクであり、ビジネスパートナーと密接に連携する必要があります…それが適切な[リーダーシップ]トレーニングの必要性を生み出しています。」

体系的な育成は、保険仲介会社Brown & Brownのような企業内でも進んでいます。CISOのBarry Hensley氏は、キャリア初期の新たなリーダーを特定・育成するための社内コホートプログラムを支援しています。「私たちは、いわゆる新しい、あるいは若い従業員に注目しています」と彼は説明します。「そして、もし入社1年目、2年目、3年目でリーダーになる可能性があると認められれば、そのプログラムに参加することになります」と説明します。

Hensley氏によれば、このプログラムでは20～30人のチームメンバーがコホートとして集まり、毎月CEOと面会し、実際のビジネス課題に取り組み、ゲストスピーカーからメンタリングを受けます。参加者はまた、年間を通じてプロフェッショナルな成長のための会社イベントにも出席します。これはBrown & Brownの他のリーダーシップ開発プログラム、例えば従業員が自由に参加できる全社的なリーダーシップ開発プログラムや、推薦制のプログラムなどに加えて行われています。

リーダーとマネージャーの違い

元米陸軍士官のHensley氏は、リーダーシップ開発を単なる継続性の構築だけでなく、組織の健全性の表れと見なしています。「自分の後任が現れる日を楽しみにしています」と彼は言います。「自分がいなくても組織が回るようになった時こそ、成功したと言えるのです。」

彼は、優れたリーダーは自分の周囲にいる人々や、キャリア初期に強いロールモデルを持つことで形成されると考えています。「私は常に、共に働く人や上司から招かれ、刺激を受けるべきだと伝えています。そして最終的には、自分がどんなリーダーになりたいか、どんな人と働きたいかを、持っているロールモデルを通じて理解するべきです。」

Hensley氏にとって、優れたリーダーシップとマネジメントには明確な違いがあります。リーダーは「人を鼓舞し、動機づける」のに対し、マネージャーは効率や規模の拡大のためにタスクを達成することに注力し、効果的なリーダーになるための時間を取ることはあまりありません。

「マネージャーは、例えば結婚式や卒業式など、チームメンバーの特別な瞬間に招かれることはあまりありませんが、リーダーであれば、その誠実さが本物であるため、メンバーは喜んで思い出深いイベントに参加してほしいと思うでしょう」と彼は言います。

人間中心のプログラムを実施する

Ouellette & Associatesでは、リーダーシッププログラムがテクノロジーの「人間的側面」の構築に特化しており、ビジネス感覚、顧客志向、協働といったスキルの開発に重点を置いています。

主力プログラムの一つがCybersecurity Leadership Experience（CyberLX）で、9か月間にわたり、組織外のCISOや上級サイバーリーダーによる1対1のメンタリングが含まれます。また、インタラクティブなワークショップや、学びを実践に活かすための集大成プロジェクトも特徴です。

Ouellette & Associatesのテクノロジーリーダーシップ実践担当エグゼクティブディレクター、Kath Marston氏にとって、リーダーシップ開発への投資のビジネス的意義は明白です。彼女は、人材育成を怠る組織は人材を失うリスクがあると警告します。特に変化が激しく、スキルセットが急速に進化する分野ではなおさらです。

「今は非常に広い競争の場です。人材を惹きつけることと、その人材に投資し成長させることは別物で、それこそが組織の持続性につながります」と彼女は言います。「多くの組織は人材を集めますが、育てないために失ってしまいます。スキルセットは変化し、世界も常に変わり続け、私たちは常にイノベーションを起こし、複雑な環境に対応しています。だからこそ、競争優位性に備える必要があるのです。」

その備えこそが、Marston氏によればリーダーシップに直結しています。「私たちは常に次のサイバーセキュリティやITリーダーがCISOやCIOになることを期待しており、そこに到達できるように育てなければなりません。」

それでも、善意のある組織であってもサイバー専門家を十分な速さで育成するのは難しい場合があります。Ouellette & Associatesのリーダーシッププログラムディレクター、Jill Lundy氏によれば、課題は必ずしも投資不足ではありません。「単に必要な時間が確保されておらず、全員を迅速にレベルアップさせることができていないだけなのです。」

将来のリーダーを見抜く

リーダーシップの可能性を見極めるのは、直線的なチェックリストではなく、その人の幅広さだとKhalfan氏は言います。「サイバーエンジニアリングのコントロールやコードスキャン、セキュアな製品開発のビットやバイトが、リスクにどう結びつくかを理解しているか？」と彼は問いかけます。「そして、それを説明できるか？技術的な話とビジネスの話を行き来できるか？」

Khalfan氏は、優れたCISOはエンジニアと深い議論ができる一方で、取締役会での会話もリードできるべきだと考えています。「私がコードを書いたのはもうだいぶ前ですが」と彼は言います。「それでも深い議論ができ、同時に取締役会で話ができることは理解しています。」

Abousselham氏も、技術的な経験はパズルの一部に過ぎないと同意しています。彼は、誰かがリーダーシップの役割を引き受ける準備と意欲があるかどうかにより注目しています。