CISO行動規範：エゴを捨てて、本物のリーダーシップを

正直言って、ひどいCISOもいる。

それはセキュリティを知らないからでも、頭が悪いからでもない。エゴが暴走してしまったからだ。彼らは協調性や自己認識を持ったまともな人間であることを忘れてしまった。肩書きが頭にのぼり、影響力が中毒になり、ベンダーや同業者、メディアからの注目が、本当のリーダーシップとは無関係な「重要感」を膨らませてしまった。そして正直なところ、多くの人がそれを指摘するのを恐れている。

でも、私はここでそれを指摘する。

私たちはこの役割を美化しすぎて、最悪の行動さえも容認し、時には報奨さえしている。どの会議でも見せかけだけの態度を取り、異論を認めず、うなずくだけの人しか雇わず、ベンダーとの会話をエゴを満たす場にしているCISOが、減るどころか増えている。私もこの役割を経験した。プログラムを率い、難しい決断や失敗もしてきた。でも、このパターンを目の前で見てきて、もう見て見ぬふりをするのはうんざりだ。

Steve Hindle氏（The CISO SocietyのCISO in residence）は、「CISOのエゴは非常にもろいので、個人賠償責任保険が存在する。ベンダーは彼らを崇拝し、業界は彼らに発言の場を与え、誰もそれをチェックしていない」と率直に語った。彼の言う通りだ。私たちは肩書きが中身よりも、影響力が誠実さよりも、コントロールが協調よりも評価されるフィードバックループを作ってしまった。CISOが見せかけの態度を取れば取るほど、拍手する人が増える。

なぜこうなったのか？

この状況の一因は市場にもある。この役割は急激に注目され、需要が高まった。給与も跳ね上がった。誰もがCISOを舞台やパネルに呼びたがった。しかし、仕事の重要性が増す一方で、全員がそれに見合う成長を遂げたわけではない。AtlassianのCISOであるDavid B. Cross氏は「ただコントロールしたいだけの人もいるし、それに中毒になっている人もいる。努力してきたから当然だと感じ、世界が自分に借りがあると思っている人もいる」と語る。その「当然だ」という意識は、特に他者への接し方に表れる。

一部のCISOがベンダーをどう扱うかについて話そう。私はCISOが会議で暴君のように振る舞うのを見てきた。横柄で、見下した態度で、まともに話もできない。それは製品を精査したり懐疑的でいることが目的ではない（それは私たちの仕事だ）。本当に営業担当者を困らせることを楽しんでいる人がいるのだ。会議をゲームのように扱い、問題解決の意図はなく、ただ権力を誇示するだけ。営業担当者が技術的な細部でミスをするのを待ち構え、「してやったり」とばかりに割り込んで自分が一番賢いと見せつける。

正直に言うと、同じCISOとして、同業者と話すのが疲れると感じることもある。営業の友人たち、ごめん、君たちの気のせいじゃない。私たちの中には、普通に敬意を持って会話することすら極めて難しくしている人がいる。それはリーダーシップではなく、肩書きで包み隠した不安の表れだ。

Adam Arellano氏（TraceableのフィールドCTO）はこれを「パンクアーティスト症候群」と呼ぶ。こうしたCISOは、自分が協調するには「クールすぎる」「信念が強すぎる」「特別すぎる」と思い込んでいる。彼はこれを「自分のイメージが色あせるのを見たくない、もろい男らしさ」と表現した。もちろん男性だけの問題ではないが、このパターンに見覚えがあるのは否定できない。

問題はベンダー対応だけにとどまらない。チーム内にも現れる。多くのCISOはリーダーシップのパイプラインを作らず、イエスマンばかりのエコーチェンバーを作る。異論を唱えない人だけを雇い、戦略を細かく管理し、影響力を独占する。そしてイノベーションが止まったり、優秀な人材が去ったりしても驚いた顔をする。VantaのCISOであるJadee Hanson氏は「エゴは壁を作り、真のリーダーシップは信頼を築く。優れたCISOはその違いを知っている」と語る。この違いは重要だ。特にチームの成功が、あなたの「聞く力」「適応力」「舞台を共有する力」にかかっている場合はなおさらだ。

VetcorのCSOであるAndrew Wilder氏は「イエスマンばかり雇うのはやめるべき。異論を言ってくれる人が必要だ。絶対的な権力は絶対的に腐敗する」と明快にまとめている。これは哲学ではなく実践だ。セキュリティには摩擦、議論、文脈が必要だ。チーム全員があなたに同意しているなら、あなたはリーダーシップを発揮していないか、彼らがもう努力をやめているかのどちらかだ。

これからどうする？

この問題を止めるには、他人事だと装うのをやめる必要がある。肩書きがあるからといって有害な行動を許すのをやめる。リーダーシップを、声が大きい人や経歴が長い人だけの聖域のように扱うのもやめるべきだ。

これは単なる愚痴ではなく、基準を引き上げるための提案だ。

セキュリティはもはや単なる技術職ではない。リーダーシップの分野だ。だからこそ、フレームワークや資格だけでなく、CISOがどうあるべきかという共通認識が必要だ。社内でも、社外でも、取締役会でも、広いコミュニティでも。

だからこそ、私はこれを公開する。すべての答えを持っているからではなく、この職業に新たな基準が必要だからだ。新しい期待値。自分自身も、仲間同士も守るべきスタンダード。コンプライアンスではなく、行動規範。どうリードするか、ということだ。

以下がCISO行動規範だ。これはチェックリストではなく、マインドセットだ。自分に当てはまると思うなら、それでいい。そうでないなら、なぜか自問する時かもしれない。いずれにせよ、これが基準だ。守っていこう。

これは誰かを攻撃する記事ではない。挑戦状だ。

この分野で正しいことをしようと努力している人は多い。しかし、肩書きの陰に隠れている人も多い。この文章を読んで不快に感じたなら、それでいい。むしろそうあるべきかもしれない。不快感は、正面から向き合う覚悟があれば、有益なものになりうる。

「CISO」という肩書きがあるからといって、悪い行動を言い訳にするのはやめよう。成果だけでなく、その過程にも責任を持ち、お互いを評価し合おう。影響力を崇拝するのはやめ、誠実さを評価しよう。

エゴを捨てて、本物のリーダーシップを。