現代のCISOに求められる、新たなリーダーシップ・ナラティブに向けて
オンラインで目にするサイバーセキュリティ予算に関する議論の多くは、取締役会を説得し、投資を正当化することを中心に展開されています。
あるアプローチは財務モデルに基づき、投資対効果(ROI)の正当化を目指します。別のアプローチはリスクを定量化し、リスク低減を示すことに焦点を当てています。
いずれもデータドリブンであり、何らかの合理的な議論の枠組みに基づいて設計されています。
しかし、大企業の最上層では、本当にそのような形で意思決定が行われているのでしょうか?
実際のところ、これらのアプローチはすべて、CISOやサイバーセキュリティコンサルタント、ベンダーが、過去20年にわたって経営幹部層に向けて積み上げてきた「ボトムアップ型」のナラティブの一部です。
私の経験では、それらは現実の企業ダイナミクスの3つの側面と衝突しています。
まず第一に、企業レベルの意思決定は、一見すると合理的な営みに見えるかもしれませんが、実際にはダニエル・カーネマンらの研究が示すように、認知バイアスの強い影響を受けています。
これはサイバーセキュリティにおいては特に明白であり、ここから2つ目のポイントにつながります。
セキュリティ業界で十分な時間を過ごした人なら誰でも、以前は却下されていたはずの予算が、規制当局の調査、悪い監査結果、インシデント、ニアミス、あるいは競合他社に起きた類似の出来事(多くのCISOがよく知る「それはうちにも起こり得るのか?」という問いを引き起こすもの)をきっかけに、突然潤沢に現れるという状況を何度も目にしているはずです。
そのような場面では、ROIやリスク低減に関する懸念はほとんど持ち上がりません。経営幹部が求めるのは、チェックボックスが埋まっていることと、重大な侵害が起きた際に「自分たちはやるべきことをやった」と示せる証拠です。もし実行が伴わなければ、誰か別の人間が責任を負うことになります(しばしばCISOであり、Chief Incident Scapegoat Officer(最高インシデントスケープゴート責任者)と揶揄されることもあります)。
もっと真面目な話をすると、サイバー攻撃に関しては「いつ起きるかであって、起きるかどうかではない(when-not-if)」というパラダイムが、多くの取締役会でようやく腹落ちしています。過去20年近く、侵害が絶え間なく続いてきた今、サイバー攻撃がビジネスに与え得る影響を認識していない取締役を探す方が難しいでしょう。ここから3つ目のポイントにつながります。
私は特にCIOとの間で多くの議論をしてきましたが、彼らはしばしば「サイバーセキュリティに関しては、予算には好きなだけ盛り込める」と率直に認めています。しかし、彼らの主な問題は、サイバー関連プロジェクトを「やり切ること」にあるのです。
では、リソース不足に悩んでいると主張する多くのCISOやベンダーと、サイバーへの理解を深め、企業を守るために投資したいと考える経営幹部との間には、どこからそのギャップが生じているのでしょうか?
予算にまつわる誤解:サイバーセキュリティは本当は「予算不足」ではない
もちろん、サイバーセキュリティのプロジェクトはしばしば複雑です。ビジネスを効果的に保護するためには、企業内の縦割り組織や地域をまたいで取り組む必要があるからです。これは、大企業にとっては自然なことではありません。大企業は本質的に、縄張り意識や政治性を帯びた組織だからです。
しかしそれ以上に、CISOのプロファイル自体も重要な要素です。
多くのCISOは、職業的にもバックグラウンド的にもテクノロジー畑の出身であり、ここ10年はインシデント対応に追われるばかりで、長期的なナラティブを構築したり、遂行したりすることができていませんでした。
彼らは、経営の経験や政治的な手腕、個人的な威信といった、本来であれば成功に不可欠な資質を十分に身につけていません。今や、企業トップからの注目が完全に自分たちに向けられているにもかかわらず、です。
多くのCISOは、サイバーセキュリティへの慢性的な投資不足こそが成熟度不足の根本原因だと本気で考えています。しかし、実際のところ問題の核心にあるのは、ビジネスに蔓延する短期志向に起因する、慢性的な「実行の失敗」です。すなわち、「クイックウィン」が達成されたり、コンプライアンスレポートのチェックボックスが埋まったりした途端に優先度が下げられるプロジェクト、新任の経営幹部が来たり去ったりするたびに方向転換される取り組み、市場の混乱の兆しが見えた瞬間に凍結されるイニシアチブ——これらすべてが、ガバナンスや企業文化の問題を指し示しており、それこそが大企業におけるサイバーセキュリティ成熟度の長期停滞の真の根本原因なのです。
こうした文化的側面を理解できておらず、しかもその種の意思決定からほぼ常に蚊帳の外に置かれているCISOにとって、それはフラストレーションの温床となります。そしてフラストレーションは短い在任期間を生み(多くの場合2〜3年程度)、短い在任期間はマネジメントやリーダーシップとのミスマッチをさらに悪化させます。そのような短い時間軸では、大企業に本当の意味で変革的なインパクトをもたらすことはほとんど不可能だからです。
経営幹部の側から見ても、CISOの「メリーゴーラウンド」は同様にフラストレーションを生みます。彼らは、壮大な計画を掲げて何百万もの予算を要求し、数年後には辞任して、物事を中途半端な状態で放り出していったCISOを、あまりにも多く見てきたのです。
最初の100日:信頼が勝ち取られるか、失われるかが決まるとき
このギャップのかなりの部分は、実のところCISO就任後最初の100日の間に形成されます。
多くのCISOは、新しい職務に就く際に、あらかじめ出来上がった見方を持ち込んでいます。面接の段階で形成されたものも少なくありません。過去にうまくいった施策や、自分の「推しテーマ」、特定のベンダーやコンサルタントなどです。
また、多くのCISOは、最初の100日で専門家としての力量を証明しなければならないと感じています。これは誤りです。最初の100日においては、能力は「前提」として扱われます(あなたは採用されたばかりなのですから)。真の課題は別のところにあります。
最初の100日で問われるのは、その企業の組織構造に自分がうまくフィットし、リーダーとして振る舞えることを証明することです。
私の考えでは、それは「傾聴」から始まります。ステークホルダーやスポンサーの話に耳を傾け、彼らの期待や痛点、過去にうまくいったこと・うまくいかなかったこととその理由、前任者に何が起きたのかを理解することです……ときには、「私があなたを助けるためにできることは何でしょうか?」という問いこそが、最も有効な質問になることもあります。
このプロセスは、サイバーセキュリティのナラティブ、さらには企業のサイバーセキュリティ戦略を「共に作り上げていく」旅路の始まりとなるべきものです。
目標がステークホルダーやスポンサーと共有されていれば、摩擦は減ります。時間が経つにつれ、ビジネス側から「チャンピオン」が現れ、サイバーセキュリティのナラティブを代弁するようになります。それはCISOのナラティブだからではなく、「自分たちのもの」だと感じるからです。
このプロセスはまた、CISOを企業のガバナンスおよびリーダーシップのダイナミクスの中に組み込む役割も果たします。
真摯に耳を傾け、企業全体に流れる文化的な潮流や、忠誠関係、実際の意思決定が行われる非公式な信頼ネットワークを見極め、それに沿って動くことで、CISOはビジネスリーダーにとって信頼できるプレーヤーとなります。
その段階に至れば、予算に関する議論は、信頼し合うパートナー同士による双方向の対話となり、一方が他方を言い負かさなければならないような対立的な場面ではなくなります。
逆に、最初の100日を「戦術的に自分の有能さを証明する」ことに費やすCISOは、オペレーションの火消しに閉じ込められてしまうリスクを負うことになります。その状況から抜け出せる人はほとんどいません。最終的には「手堅く仕事をこなす人」と見なされるかもしれませんが、それで戦略テーブルに受け入れられる可能性は低いでしょう。
このような状況では、私が「Is the CISO role broken(CISOという役割は壊れているのか)」で主張したように、CSO(Chief Security Officer)の役割が不可欠になります。企業レベルでビジネス保護を統括し、すべての規制要件が満たされるようにするためです。
しかし、それは避けられない運命ではありません。
最終的に、サイバーセキュリティリーダーシップの未来は、「影響力と信頼の構築は、行動や投資に先行しなければならない」と認識しているCISOのものになるでしょう。
取締役会はもはや、「サイバーリスクが重要である」と説得される必要はありません。必要としているのは、複雑な企業ダイナミクスを乗りこなし、あらゆるステークホルダーとの信頼関係を築き、縦割り組織をまたいでデリバリーを統括できる、自信に満ちた文化的感受性の高いリーダーです。
最初の100日が、その後のトーンを決めます。それは、技術的なデモンストレーションや予算闘争によってではなく、「傾聴し、調整し、ビジネスリーダー自身がオーナーシップを感じられるナラティブを共に作り上げる」ことによってです。
そうすることでCISOは、リソースを嘆願する立場から、真の経営幹部として戦略を形作る立場へと移行します。傍らで火消しに追われる存在ではなく、企業の中心でレジリエンスを設計する「アーキテクト」としての役割を担うのです。
この記事は、Foundry Expert Contributor Networkの一部として公開されています。
参加を希望しますか?
翻訳元: https://www.csoonline.com/article/4104251/cybersecurity-isnt-underfunded-its-undermanaged.html
