CISOの課題：同僚に自分の仕事を理解してもらうには

初代CISOである故スティーブ・カッツ氏は、1995年にロシアのハッカーが金融機関から1,000万ドル以上を盗んだ事件を受けて、シティコープでチーフ・インフォメーション・セキュリティ・オフィサーの肩書きを得ました。それから30年が経ち、この比較的新しいリーダー職は依然として十分に理解されておらず、CFOのような伝統的で確立されたリーダー職よりも責任の変動が大きい傾向にあります。

そのため、多くの従業員や経営陣でさえ、自社のCISOが何をしているのかを十分に把握していないのは驚くことではありません。これは、多くのCISOが企業における主な責任を果たす上で直面する問題です。

「CISOは、会社の中で他の誰もやりたがらないサイバーセキュリティに関するすべてのことをやっています」と、YL VenturesのCISOであり、サイバーセキュリティスタートアップのアドバイザーでもあるアンディ・エリス氏はCSOに語ります。

「それは皮肉に聞こえるかもしれませんが、これは長い説明のためのエレベーターピッチです。CISOはCIOのもう半分です。CIOは2000年以降、イノベーションやガバナンスをやめてコスト削減に走りました」とエリス氏は言います。「誰かがサイバーセキュリティを気にかける必要がありましたが、他の誰もやりたがらなかったのです。だからCISOの仕事は、他の人の業務の一部であるサイバーセキュリティの要素を拾い集めることになったのです。」

この職務の行き当たりばったりな進化は、同僚や規制当局がCISOの仕事を十分に理解していない場合にCISOが直面する問題を浮き彫りにしています。この理解不足は、誤解やリソースの誤配分、さらには法的責任の可能性につながることもあります。多くの人がSECによるソーラーウィンズ社CISOティム・ブラウン氏の訴訟への過剰な巻き込みをその例と見なしています。

混乱を招いているのは、職務範囲が曖昧で変動的であることです。この不明瞭さは、多くのCISOが重い責任と経営層に聞こえる肩書きを持ちながらも、望ましいほどの意思決定権を持っていないという事実によってさらに悪化しています。それでも、専門家たちはCISOが自らの職務をより明確に定義し、組織内外のステークホルダーに伝える方法があると指摘しています。

では、CISOは何をしているのか？

CISOの役割を定義する上での根本的な問題の一つは、その内容が組織ごと、また組織のサイバーセキュリティ成熟度によって異なることです。さらに、その職務内容は時間とともに変化することもあります。

成熟度の低い組織では、CISOは「かなり技術的な役割を担う傾向があります」と、カーライル・グループの元CISOでCISOエメリタスのベサニー・デリュード氏はCSOに語ります。「彼らは組織で最も優れたセキュリティエンジニアかもしれません。このタイプのCISOは『とにかく火消しをしよう。ハッキングされないようにしよう。社内を整えよう』と考えています。」

一方、成熟した組織では、CISOは「戦略やビジネス関係、ブランド構築、サイバーが組織にもたらす価値を考えるエグゼクティブリーダーです」とデリュード氏は言います。このタイプのCISOは「自分の専門知識を通じてどうやって組織に価値を生み出すか」を考えています。「だからこそ曖昧さが生じるのです。さらに、同じ組織でも時期によって適切なCISO像が変わることもあります。」

CISOの役割が変化し続けていること、また脅威やリスク管理戦略の変化により、CISOの責任範囲を明確に定めるのはほぼ不可能です。「状況は常に進化しており、毎年CISOの役割を再分析して『今何をすべきか』を考えなければなりません」と、CohesityのフィールドCISOであるデール“Dr. Z”ザブリスキー氏はCSOに語ります。

さらに彼はこう続けます。「以前は取締役会やCEO、会社がCISOを指して『君の仕事は私たちを守ることだ』と言っていました。今はそうではなく、CISOがビジネスのあらゆるレベルとつながり、各部門のリーダーから『どのデータやシステムを担当しているのか』を聞き出し、それに基づいて受容可能なリスクから最善の対応策を決定することが最良とされています。」

このことが意味するのは、CISOは自分の職務をより具体的に定義する前に、まず組織内を把握する必要があるということです。「CISO自身が自分の職務記述書を最終的にまとめ、リスクや戦略、実際の組織文化に基づいて期待値を設定する責任があります」と、HeadwayのCISOであるスーザン・チアン氏はCSOに語ります。

チアン氏は、どの組織でもCISOに共通する最大のポイントは「最終的にはミッションは同じで、企業・政府・非営利団体を問わず、特に従来型のセキュリティリスクを低減すること」だと考えています。

CISOの職務を常に不変に定義することは難しいかもしれませんが、標準的な定義があれば組織内の関係が円滑になるでしょう。「CISOが正確に何をすべきか、どこまでが範囲なのか明確になれば、摩擦は減るでしょう」と、DatabricksのCISOでカーネギーメロン大学の教員でもあるオマール・カワジャ氏はCSOに語ります。

「チーフ」の肩書きが混乱を招く

チーフ・マーケティング・オフィサー、チーフ・レベニュー・オフィサー、チーフ・テクノロジー・オフィサーなどの肩書きと同様に、CISOも会社の役員として広範な意思決定権を持つように聞こえますが、実際には実質的な権限を持たないことがほとんどです。

「会社の役員としての役割を果たすCISOも一部いますが、そうした人は誰に報告しているかに関係なく、そのように扱われます」とカワジャ氏は言います。

「CEOから4階層下にいるCISOでも、経営陣の一員として一流と見なされる場合もあります。逆に、CEO直属のCISOでも、ほとんど影響力も権限もない場合も見てきました。つまり、実際の報告関係や組織構造はあまり関係なく、個人の姿勢や行動、CEOや取締役会、同僚との関係の質の方が重要なのです。」

エリス氏は「会社でCレベルの肩書きが爆発的に増えましたが、実際にはCレベルの役割ではないものが多いです。CSO（チーフ・セキュリティ・オフィサー）がその最初の例です。CIOやCMOがC-suiteの最後の新しい役職で、それ以降はほとんどがC-suiteではありません。常に一段下です」と述べています。

しかしエリス氏は、CISOが現在占めているこの低い役割は長くは続かないと考えています。サイバーセキュリティの重要性を考えれば当然です。「今後はCISOがCIOやCTOのような役割に進化する可能性が高いと思います。今日、フォーチュン500以外のCIOがやっていることを見ると、コモディティハードウェアやSaaSサービスの調達担当者です。それはCレベルのポジションではありません。しかし、それがCISOと組み合わされれば、Cレベルの役割になります。」

Headwayのチアン氏は、たとえCISOがCIOに戻らなくても、より多くの権限を持つようになる可能性が高いと考えています。「CISOの役割について、より多くの標準や規範が形成されつつあります。これは、取締役会によって役員に任命されることで、CFOと同じレベルの責任保険が適用されるなど、CISOが今後担うべきことの自然な流れとも言えます。」

CISOが自分の仕事を伝えるには

組織がサイバーセキュリティの成熟度曲線のどこにあっても、またCISOがどれほど経営権限を持っていなくても、専門家たちはCISOの職務を社内外のステークホルダーにより明確に伝える方法があると述べています。

この作業に役立つ標準的な文書はほとんど存在しません。サイバーセキュリティのボードアドバイザーであるラフィーク・レーマン氏は毎年「CISOマインドマップ」を作成しています。これはCISOの業務を結晶化したビジュアルですが、CISOが担う可能性のある何百もの職務が複雑に描かれています。

「私はそのマインドマップを同僚と共有しません」とチアン氏は言います。「圧倒されてしまうでしょうから。」

エリス氏は理想的なCISO職務記述書を作成していますが、これはCISOの複雑な職務範囲を網羅的に説明したものです。しかし、このレベルの職務を担ったCISOはほとんどおらず、エリス氏によれば「理想的な基準を満たしたCISOは100人ほどしか知らず、彼らはほとんどCISO殿堂入りしています」とのことです。

こうした複雑で専門的な文書を共有する代わりに、チアン氏はCISOが「共通の顧客の視点からストーリーを語る方法を探す」べきだと述べています。例えば、アクセスの提供やリスク低減という観点で自分の仕事を説明するのです。「それにより、CISOが意思決定者だと思われることから離れられます。CISOはほとんどの場合意思決定者ではなく、アドバイザーであり、支援者であり、問題が起きたときに現れる存在です。」

「CISOが最初にやるべきことは、相手の言語で話すことを学び、その人が何で評価されているのか、何が最善なのかを見極めることです」とDr. Z氏は言います。「この人やこの部門、このオフィスにとって何が重要なのか、そして自分がどう貢献できるのかを示しましょう。」

エリス氏は、CISOが顧客に自分の仕事を直接見せることが重要だと考えています。「すべて対面で行うべきです」と彼は言います。「人々と会話し、あなたの仕事を見てもらうべきです。『これをやりました』と伝えるのではなく、実際にあなたが何をしているか、他の人をどう支援しているかを見せるべきです。」

さらに、組織全体に伝える際には、CISOが他の人の功績を称えることでメッセージの重みや記憶に残る度合いが増します。「会社を守ったのは誰かを言及しましょう」とエリス氏は言います。「このエンジニアリングチームは、シームレスな多要素認証システムを構築してくれました。彼らこそ感謝すべき人たちです。みんなあなたと働きたがるでしょう。なぜなら、あなたは唯一他の人を称賛する人だからです。」