すべてのCISOが直面する8つの厳しいトレードオフ

C-suiteで成功するための鍵の一つは、複数の相反する利害をバランスよく調整できることです。

そして、どの経営幹部もプレッシャーの高い選択を迫られますが、特にCISOは自分のキャリアや企業にとって重大な結果をもたらす可能性のあるトレードオフに直面しています。

自分が必ずしも全権限を持っていないセキュリティ成果に対してますます責任を負うことになっているCISOは、この状況をよく理解しています。2024 LevelBlue Futures Report: Cyber Resilienceによると、「CISOの73%がサイバーセキュリティが手に負えなくなり、リスクを伴うトレードオフが必要になることを懸念している」と回答しています。これはCIOとCTOの58%と比べて高い割合です。

さらに、責任が増すにつれて、CSOやCISOはセキュリティ戦略をビジネス目標と整合させる必要性も高まり、セキュリティ上の指針とビジネスの迅速なイノベーション支援の必要性との間で、どこに線を引くかという追加の緊張が生まれています。

セキュリティとビジネスの両方の経営者として相反する利害をよりうまくバランスさせるために、すべてのCISOが考慮すべき主要なトレードオフと、それぞれをビジネスとキャリアの利益につなげるためのセキュリティリーダーや業界専門家からのアドバイスを紹介します。

1. より大きなビジネス文脈でリスク許容度を再調整する

ビジネスとの整合性が叫ばれているにもかかわらず、CISOはリスクに関するC-suite間の不一致を圧倒的に報告しています。

サイバーセキュリティベンダーNetskopeによるModern CISO: Bringing Balance調査では、CISOの92%がリスクに対する姿勢の違いがC-suite全体との緊張を生んでいると回答し、66%が「ビジネスの要望とセキュリティの観点で理にかなうこととの間で綱渡りをしている」と述べています。

テクノロジー企業PendoのCISOであるChuck Kelser氏は、リスク問題で中間点を見つける努力をしてきたと言います。「これは、ビジネスが私に自分たちのニーズを教えるのと同じくらい、私がビジネスにリスクを教育することでもあります」と彼は語ります。

Kelser氏は、ビジネス目標、自身が最初に評価したそれら目標に伴うリスク、そして導入済みのセキュリティコントロールを評価した後、過去にリスク許容度を「再調整」しなければならなかったことを認めています。

EYのグローバルコンサルティングサイバーセキュリティリーダーであるRichard Watson氏は、このような状況はよくあることだと言います。「CISOはよく『どれだけのリスクを許容するか？』と自問しています。それが私たちが最もよく受ける質問です」と彼は語ります。

2. 予算が選択を迫るときのセキュリティ投資のバランス

リスクに関するトレードオフと密接に関連しているのが、CISOがセキュリティ投資において直面するトレードオフです。

「ほとんどのCISOにとって、厳しい選択を迫られる理由の99%は、予算の制約によってリスクとリターンを天秤にかけざるを得ないからです」と、サイバーセキュリティコンサルタントMorganFranklin Cyberのテクノロジー・メディア・通信担当マネージングディレクター、John Allen氏は言います。

無限の予算を持つCISOはいないため、Allen氏は、CISOが予算を超えるセキュリティプロジェクトを実施しない場合に何が起こるかを考え、それを予算内に収めるか、もしできなければ棚上げすることが多いと述べています。

Panoraysの2025年CISO調査は具体的な例を示しています。調査対象となったセキュリティリーダーの98%が、リソース不足のためにサードパーティの脆弱性の少なくとも10%を未解決のままにせざるを得なかったと回答しています。

National Universityのサイバーセキュリティセンター所長Chris Simpson氏によれば、CISOは予算制約のために他の分野でも厳しいトレードオフを強いられています。検知やインシデント対応に望むほど費用をかけられず、予防により多く投資したり、規制やコンプライアンス要件のために本意ではないが多くの予算を割かざるを得ず、他の望ましいセキュリティ投資に使える資金が減ってしまうこともあります。

各CISOの組織には、予算トレードオフを評価する独自の文脈があります。調査によれば、すべての削減が同じ影響を持つわけではなく、特定の選択が特定の状況で組織リスクにより大きな影響を与えることが示されています。

また、CISOは導入するセキュリティツールについても妥協することが多いとEYのWatson氏は言います。「すべてにおいて最高のものを求めるCISOは、毎回勝てるわけではありません」と指摘します。

PendoのKelser氏はこれを身をもって知っています。彼は多くのリスクに対応できる多機能なクラウドセキュリティポスチャ管理ツールを狙っていました。彼はそれを「キャデラックのような選択肢」と見ていました。

しかし実際のキャデラック同様、そのセキュリティツールも高額でした。最終的にKelser氏は、そのプラットフォームの多くの機能は「あると便利」なものであって「必須」ではないことを受け入れざるを得ませんでした。

「そこで今回は購入を見送ることにしました」とKelser氏は説明し、会社に必要な機能を提供し、当時軽減したいと考えていたリスクに対応できる他の複数のツールを導入することで折り合いをつけたと述べています。

「市場には素晴らしいセキュリティツールがたくさんあります。デモを見ると興奮して、すべてのリスクに対応できると思いがちですが、実際には欲しいものすべてに予算を確保するのは難しいので、何が実現可能かを見極めることが大切です」と彼は言います。「何でもできるキャデラックが欲しかったですが、代わりに自社の環境特有のリスクに対応し、より安価な選択肢を取りました。」

4. イノベーション促進のためにより多くのリスクを取る

特にエージェント型AIなどの新興技術をめぐるイノベーションはリスクを伴います。特に、イノベーションがセキュリティ部門の積極的な関与なしに進められる場合、AI分野などで今もよく見られる状況です。

これは多くのCISOが十分にセキュリティ対策できていないリスクを増大させます。

「ビジネスの収益を生む部門が意思決定を主導しています。これは50/50の関係ではありません。『CISOがリスクのためにやらないと言ったからやらない』ということにはなりません。ビジネス側が『やるから、どうにかして』と言うのです」とMorganFranklinのAllen氏は語ります。

だからといってCISOが無力なわけではないと彼は説明します。CISOには「ビジネスがやりたいことに対するセキュリティ上の懸念や落とし穴、デメリットを明確に説明する能力と義務」があります。ただし、セキュリティ評価をビジネスの文脈で説明し、「ビジネスの成長や目標達成を後押しする解決策を提示する」必要があります。

多くのCISOがそうしていますが、すべてではありません。LevelBlue 2025 Futures Report: Cyber Resilience and Business Impactによると、調査対象のCISOの61%が「適応的なアプローチを取ることで、イノベーションに伴うリスクをより多く取ることができる」と回答しています。サイバー・レジリエントな組織を率いるCISOではこの割合が79%に上昇します。

5. ビジネスのスピードに合わせてセキュリティを確保する

同様に、CISOはビジネスが求めるスピードと、セキュリティのより遅いペースとのバランスを取らなければならないことが多いと、テクノロジー企業Benifexの情報セキュリティ責任者であり、ISACAのEmerging Trends Working GroupメンバーでもあるSimon Backwell氏は語ります。

ビジネスとセキュリティではスピードの面で能力に大きな差があります。ビジネス側は反復的なイノベーションが可能ですが、CISOは通常、同じような反復的アプローチを許さないコンプライアンスやセキュリティフレームワークを満たさなければなりません。さらに、ビジネスチームは新規プロジェクト開始時に専任チームを組織するためのリソースが投入されますが、セキュリティチームにはそうした支援がありません。

「（セキュリティ部門は）他にも20の案件を抱えている中で、新しい案件にも対応しなければならず、そのために何を後回しにするかを決めなければならない」と彼は付け加えます。

何を優先するかを見極める際と同様、CISOはビジネスとの整合を図り、より重要なのは、ビジネスの新規プロジェクトに早い段階でセキュリティを組み込むことで、よりスピードに追いつくことができるとSimpson氏は言います。

「それができるCISOは、スピードを受け入れることができます」と彼は付け加えます。

6. 目の前の課題に直面しつつ先を見据えて投資する

CISOがより受動的でなく戦略的になるにつれ、ビジネスチャンスや新たな脅威がどのように迫ってくるかをよりよく見通せるようになります。

しかし、それはCISOにジレンマをもたらします。今すぐ新しいセキュリティツールや施策に投資して先手を打つべきか、それとも他に差し迫ったニーズがある中で後回しにし、必要性が目前に迫ったときに対応すべきか、という問題です。

PendoのKelser氏もこのジレンマに直面したことがあります。彼は自社の戦略計画を踏まえ、最終的にはDDoS攻撃への防御を強化する必要があると判断しましたが、その時点ではDDoS攻撃は大きな脅威ではありませんでした。

「これが今後の脅威になると見ていましたが、今回は先送りすることにしました」と彼は述べ、最も差し迫ったリスクへの対応を優先し、DDoS攻撃のリスク増大には後のセキュリティロードマップで対応するという厳しい選択をしたと説明しています。

7. ユーザー体験を損なわずにアクセスを保護する

経験豊富なCISOなら誰もが何度も直面してきた長年のトレードオフが、セキュリティ対策とそれがユーザー体験にもたらす摩擦のバランスです。しかし近年は、顧客や従業員体験が最重要視され、情報窃取型マルウェアの増加や特権アクセスの悪用増加もあり、このトレードオフへの注目が再び高まっています。

Kesler氏は、以前医療機関のセキュリティ責任者だった際、マルチファクター認証（MFA）導入時にこのトレードオフに直面しました。経営陣はMFAの価値を理解していましたが、アプリケーションアクセスにかかる時間が増えることを懸念していました。

「いつ、どのように二要素認証を求めるかは慎重に考える必要があると認識していました」とKesler氏は説明します。「毎回コンピュータにアクセスするたびに認証を求めるわけにはいきませんでした。医師や看護師は一日に何度もデバイスや患者を移動するため、5分ごとに再認証を求めるのは現実的ではありません。分や秒単位が重要な現場のワークフローに大きな影響を与えてしまいます。」

そこでセキュリティとビジネス部門が協力し、オンサイトユーザーにはその日の最初のアクセス時のみMFAを求めることに決めました。「一日中何度も二要素認証を求められることがないようにしたのです」とKesler氏は語ります。

8. 大きな（そして頻繁な）トレードオフに直面しながら職務を続ける

Allen氏によれば、CISOが直面する最も厳しいトレードオフの一つは、自分が望む以上に多くの妥協を重ねてもなお職務にとどまることかもしれません。

これはよくあることです。

「CISOは自分がセキュリティの専門家だと感じているのに、必要だと思うことが実現できず、整合が取れず、常に戦いが続くようなら、辞めたいと思うこともあります」とAllen氏は語ります。

実際に辞める人もいれば、そうでない人もいます。

「最終的には、CISOはビジネスの要望に従わなければなりません」とAllen氏は言います。「それが受け入れがたい場合は辞め、柔軟に対応できる人はそれを受け入れて長く続けるのです。」