最近、サイバーセキュリティ界隈で、CISOの辞表として書かれたLinkedIn投稿が出回っています――「即時発効」。それは、このお決まりのパターンを知るセキュリティリーダーの胸に刺さります。予算要求は却下され、リスクは文書化されてエスカレーションされ、既知の脆弱性に続いて侵害が起きる。そしてCISOは避けられない問いを突きつけられるのです。「なぜ防げなかったのか?」
辞表が実話なのか寓話なのかにかかわらず、このLinkedIn投稿は、組織がサイバーリスクを管理する方法に潜む構造的欠陥を露わにしています。これは単に、CISOが職を去る話ではありません。リスクが黙って受け入れられ、責任が事後的に強制されると何が起きるのかを示しており、CISOが自らのキャリアを能動的にマネジメントする必要がある理由を告げる警鐘でもあります。
問題は個人ではなく構造にある
CISOは本質的に非対称な環境で活動しています。サイバーリスクは持続的で適応的であり、影響はますます重大になっている一方、予算と人員は有限です。取締役会や経営陣は、しばしば自らの財務・規制上の圧力の下で、セキュリティリーダーの直接的権限の及ばない制約の中でリスクを管理するよう求めます。
緊張関係そのものが問題なのではありません。あらゆるリーダー職にはトレードオフが伴います。問題は、そのトレードオフが一度も言語化されないときに生じます。財務上の制約は暗黙のものとして扱われます。リスク受容は宣言されるのではなく、当然視されます。残余リスクは顕在化するまで無視されます。インシデントが起きると、組織は物語を書き換え、責任を下方に割り当てます。
その瞬間、CISOという役割は立ち行かなくなります。
事後的な責任追及が限界点になる
侵害後にCISOが耳にする最も有害な問いは、「何が起きたのか?」ではありません。組織が以前、侵害を回避し得た緩和プロジェクトへの資金拠出を拒んでいたにもかかわらず、「なぜ防げなかったのか?」と問われることです。これはコミュニケーションの失敗ではありません。ガバナンスの失敗です。事後的な責任追及とは、リーダーが事前にはリスク受容の恩恵を受けながら、結果が現れた途端に当事者意識を否認することです。CISOはその矛盾を受け止める器にされます。
時間が経つにつれ、これはストレス以上のものを生みます。モラル・インジャリー(道徳的傷つき)を生むのです。セキュリティリーダーは、何をすべきだったかを知っており、問題提起したことも、却下されたことも知っています。それでも責任を負わされることで信頼が損なわれ、燃え尽きや離職につながります。
セキュリティ支出ではなく、リスク姿勢
この役割を持続可能にする数少ない方法の一つは、経営陣と取締役会レベルでセキュリティの意思決定をどう位置づけるかを変えることです。議論は、組織が「十分に安全かどうか」であってはなりません。その問いに具体的な答えはありません。
代わりに、リスク姿勢の選択についてでなければなりません。
ある資金水準では、組織は既知の影響範囲と運用上の帰結を伴う特定のリスク区分を、明示的に受け入れています。より高い資金水準では、あるリスクは低減され、別のリスクは残り、復旧力が向上します。より低い水準では、露出は予測可能な形で増大します。
この再定義は二つの重要なことを実現します。第一に、議論を正当化から選択へと移します。リーダーはセキュリティ費用の承認を求められているのではありません。リスク姿勢を選ぶよう求められているのです。第二に、責任を事後ではなく将来志向にします。既知のリスクが顕在化したとき、それは実行の失敗という不意打ちではなく、文書化された意思決定の結果として認識されます。
共同オーナーシップが「生存」と「燃え尽き」を分ける
財務上の制約、リスク受容、残余露出が、共有されたガバナンス上の意思決定として扱われるとき、CISOの役割は困難ではあっても正気を保てるものになります。プレッシャーは消えませんが、筋が通ります。責任は権限と整合し、意思決定は追跡可能になり、非難は分析に置き換わります。
これらの要素が否認されたり、事後に書き換えられたりすると、生き残りは意図的なものではなく偶然になります。解離して耐え抜くCISOもいます。静かに燃え尽きる人もいます。LinkedInの物語の人物のように、心理的コストが職業的コストを上回った瞬間に、突然去る人もいます。いずれの結末も、組織のセキュリティを強化しません。
なぜこれは個人のキャリアを超えて重要なのか
ここでの教訓は、状況が厳しいときにCISOが辞任すべきだということではありません。有効で安定したセキュリティリーダーシップを望む組織は、リスクを統治する方法を成熟させなければならない、ということです。サイバーセキュリティは、象徴的な保証の役割として機能しながら、同時に、誰も所有しない意思決定の投棄先として扱われることはできません。
拡散する辞表のような物語が残り続けるのは、多くのセキュリティリーダーが認識していながら、名指しされることはめったにないパターンを反映しているからです。これは「辞めろ」という呼びかけではありません。責任が一方向にしか流れないときに何が起きるのかを示す警告です。
では、CISOは板挟みの状況で押し潰されずに生き残れるのでしょうか。
はい、しかしそれは、板挟みの両側が公然と認められる場合に限ります。財務上の制約、リスク受容、残余露出が、黙示の期待ではなく共有されたガバナンス上の意思決定として扱われるとき、その役割は困難でも正気を保てるものになります。否認されたり事後に書き換えられたりすれば、生き残りは運任せになります。
この違いは哲学的なものではありません。運用上の問題であり、取締役会と経営陣がもはや無視できないものです。
翻訳元: https://www.databreachtoday.com/blogs/i-quit-when-cisos-need-to-take-charge-their-careers-p-4002
