今日のCISOは、火消しを減らしてより大きなインパクトを求めている。AIで雑務を片付け、チームを結束させ、セキュリティを「人」と「ビジネス価値」に再び集中させたいのだ。
最高情報セキュリティ責任者(CISO)に「夜も眠れない原因は何か」と尋ねれば、たいていおなじみの、しつこく続く脅威のリストが返ってくるだろう。ランサムウェア、AIを活用する国家支援型アクター、そして拡大し続けるデジタルフットプリントの中に潜む脆弱性が現実世界で悪用されること。長年にわたり、この役割は絶え間ない警戒状態、終わりのない包囲に対する受け身の姿勢によって定義されてきた。
最近CISOと交わすほぼすべての会話で、私は「もし時間の25%を取り戻せたら何をしますか」と尋ねている。返ってくるのは南国旅行を増やしたいという願いではない。代わりに、答えはイノベーションと変革に焦点を当てた新しいバケットリストを形作っている。
AIの力と可能性に後押しされ、CISOは、セキュリティの新しい常態を描くリストを作り始めている。それは先回りで、徹底して人間中心で、自律的だ。これはセキュリティスタックに点滅する箱をもう1つ追加する話ではない。セキュリティという機能そのものを再設計するための、実践的で――時に深い意味を持つ――ロードマップである。セキュリティが価値を生み出す方法のパラダイムを根本から転換し、コストセンターから、ビジネスを真に可能にするイノベーションセンターへと移行することが目的だ。
私の対話に基づけば、革新的なCISOの新たな「集合的バケットリスト」を特徴づける上位3つのテーマは次のとおりだ。
戦術的負債から戦略的先見へ
CISOが地平線に目を向ける前に、まず足元の地盤を固めなければならない。すべてのCISOのリストにある最初のテーマは、真に先回りした戦略を可能にする「卓越の基盤」を築きたいという願いだ。これは、多くの時間を食い尽くす戦術的負債を一掃することから始まる。リーダーたちはようやく、いわゆる「家の片付け」――90%まで進んだまま残っている10%のプロジェクトを片付けること――に取り組みたいと切望している。
セキュリティにおいて、その最後の10%は決して些細ではない。そこには、未パッチのシステム、設定ミスのある、あるいは放置されたクラウド資産、そして攻撃者が容易に通り抜けられるその他の開いた扉が含まれる。こうした未完了のプロジェクトは、恒常的なセキュリティギャップであるだけでなく、予算とリソースの大きな無駄でもあり、CISOはそれを何としても取り戻したいと考えている。
この基盤づくりはエコシステム全体に及ぶ。リーダーは、すべてのベンダー評価を体系的に分析する時間を求めている。相互接続されたAPIやサードパーティ依存が当たり前の時代、CISOの防御は最も弱いベンダーと同じ強さにしかならない。彼らは常に次のLog4jのような事態を想定しており、サプライチェーンリスクを適切に把握できなければ、戦略全体が砂上の楼閣になることを知っている。
最後に、棚卸しを完了するとは、監査で指摘されたすべての是正計画とマイルストーン(POAM)を一つ残らずやり切ることを意味する。これは単なるチェックボックスの消化を超え、組織としての誠実さを示す行為だ。セキュリティが、悪い報告の後に延々ともぐら叩きをするだけではなく、成熟し、説明責任を果たし、継続的に運用されるプロセスであることを、取締役会や規制当局に証明する。
棚卸しを終え既存のギャップを塞ぐことで、彼らはより大きな絵――攻撃が起きる前に止める予防的セキュリティ――へと焦点を移せる。この基盤としての卓越は、リスクの計算に重要な時間を割くための信頼性と精神的余裕を与える。例えば、検知能力の高速化によって、特定の予防的コントロールを調整したり、緩めたりできるかどうかを分析する、といったことだ。
また、ビジネス上の受容とリスク許容度という言語で枠付けた、取締役会とのより効果的な戦略コミュニケーションも可能になる。
統一され統合された防御の構築
2つ目の大きなバケットリストのテーマは、セキュリティ組織を恒常的に悩ませるサイロの解体だ。アプリケーションセキュリティ(AppSec)、クラウドセキュリティ(CloudSec)、ガバナンス・リスク・コンプライアンス(GRC)の各グループは、それぞれ別のスプレッドシートやツールで動き、目的も異なることが多い。このモデルは非効率で高コストであり、攻撃者に悪用される巨大な隙間を生む。
CISOは、分断されたチームを統合する革新的なプロセスとソリューションの開発を目指している。あるリーダーが私に見事に表現してくれたように、最終目標は「美しい自動化の網」だ。例えば、すべてのセキュリティツールにまたがって統制証跡(エビデンス)を自動化し、監査人がコンプライアンスの証明を求めた際に、10人のアナリストを本来業務から引き離す3週間の火消しではなく、数秒で生成できるようにする。
それは、すべてのセキュリティ機能がシームレスに連携し、AIがあらゆるソースのデータを相関させて、単一で統一されたリスク像を提示するというビジョンだ。
この統合はセキュリティチームの内側にとどまらない。重要な優先事項の1つは、プライバシーの観点から「法務にセキュリティの調和を持ち込む」こと、そしてコンプライアンスをセキュリティエンジニアリングに深く埋め込むことだ。GDPR、CCPA、そしてその他の規制がパッチワークのように存在する世界では、プライバシーはもはや法務だけの関心事ではない。中核的なセキュリティおよびエンジニアリングの課題である。CISOは、データ侵害やプライバシー要求に後追いで対応するのではなく、法務責任者と連携して、開発ライフサイクルにプライバシー・バイ・デザインを組み込みたいと考えている。
このビジョンは現実的でもある。CISOは、導入したものの使われない「棚の飾り」――高価で複雑だが、チームが忙しすぎて正しく展開できないツール――にうんざりしている。彼らのリストには、戦略的な問題解決の時間も含まれる。次の銀の弾丸を追いかけるのではなく、既存プラットフォームを掘り下げ、創意工夫でレベルアップする方法を見つけることだ。あるCISOが私に言ったように、「ただ動く」環境を作るための創造的なエンジニアリングなのである。
人が主導するビジネス推進役としてのセキュリティ
最後に、CISOのバケットリストは本質的に人間的だ。これは、門番からパートナーへという、深いマインドセットの転換から始まる。彼らの究極の目的は、効果的なリスク管理を通じたビジネスの推進であり、リーダーが運用タスクに引きずり込まれる状態から解放し、真のC-suiteの同僚として機能できるようにすることだ。そのためには、プロダクトマネージャーと席を並べ、営業電話に同席し、何が収益を動かすのかを学ぶことで、ビジネス理解に時間を投資する必要がある。
AIはタスクを自動化できても、信頼を築くことはできない。CISOは、人との関わりのための時間を確保することに強い意志を持っている――パートナーとの関係構築、部下のメンタリング、他の経営幹部との協働。これは代替不可能な人間の仕事であり、真の変化を推進するために必要な政治的資本と部門横断の足並みを生み出す。
この人間中心の見方は、セキュリティの最も根強い課題――人材不足――を解く鍵でもある。バケットリストは、人への投資に対する熱い思いで満ちている。社内では、成長しイノベーションを起こせる人材にさらに注力することを意味する。CISOは、チームメンバーが望む教育単位を取得するための時間と予算、そして真のイノベーションのための余白を提供したい。これは「あれば良い」ものではなく、重要な定着戦略だ。アラート疲れで優秀なアナリストが燃え尽きるのを防ぎ、会社固有で最も難しい問題の解決に取り組めるようにする方法なのである。
社外では、この情熱はコミュニティへの還元にも広がり、中学・高校と関わって次世代の守り手を育て、人材パイプライン問題を根本から解決しようとしている。
学習とイノベーションの環境を育むことで、CISOは人々がバケットリストの最後――そしておそらく最も重要な――項目を達成できるようにする。それは、彼らがキャリアを通じて目の当たりにし、やむなく付き合ってきた非効率なセキュリティプロセスを壊し、再発明するための時間だ。
未来は人が主導し、AIが力を与える
これらのバケットリストのテーマを総合すると、セキュリティリーダーシップの未来像がはっきりと浮かび上がる。そこではCISOは、単なる最高防衛責任者ではなく、レジリエンスを育みイノベーションを可能にする戦略的ビジネスパートナーとなる。このビジョンを実現するには、アラートを追い回す状態から脅威を先読みする状態へと移行し、セキュリティ専門家が最も意義ある仕事に取り組めるようにし、AIを人間の専門性の代替ではなく増幅のために活用することが必要だ。
目標は、中核にいる人間と同じくらい知的で、適応的で、創造的なセキュリティ機能を構築することだ。それこそが、私たち全員が目指すべき未来である。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加したいですか?
