CISOたちを夜も眠れなくする6つの要因

CISOたちは多くのことを抱えています。チームの燃え尽き、AIリスク、ビジネス価値の証明プレッシャーなど、セキュリティリーダーは複雑な脅威の数々を同時にさばいています。

セキュリティ業界にはストレス問題がある

セキュリティ業界には蔓延するストレス問題があり、それはエントリーレベルのアナリストからCレベルの幹部まで影響を及ぼしています。変化のスピード、絶え間ない脅威への曝露、高いリスク下での業務プレッシャーが、心理的安全性の欠如した環境を生み出しています。

「私たちにはストレス問題があり、日々の業務に対処できていないと打ち明けることに恥を感じる人が多いのです」とQualtricsのCSO、Assaf Keren氏は語ります。

Keren氏によれば、沈黙の文化を変えなければ、才能ある人材が燃え尽き、業界のスキルギャップがさらに深刻化するリスクがあるとのことです。「仕事が原因で夜眠れないべきではありませんし、もし仕事で眠れないほど悩んでいるなら、助けを求めるべきです。」

彼は、ミスや不運の個人的・職業的コストが高いこの業界で、助けを求めることが当たり前になることを望んでいます。「私たちには状況を改善するためのリソースがあり、業界全体でもっと取り組むべきです」とCSOに語っています。

Keren氏は、AIによるトリアージや手作業の一部を自動化することで、セキュリティ担当者の負担やストレスを軽減できる可能性に期待しています。「人々が日々行っている単純作業を減らし、より大局的な思考に集中できるようになれば、業務の流れの中断も減るでしょう。」

AIが生み出すスキル危機の可能性

メンタルヘルス組織HeadspaceのCISO、Jameeka Aaron氏は、AIの多くの活用可能性を見出しつつも、推進と慎重さのバランスを取っています。しかし、特に生成AIが採用プロセスに与える影響を懸念しています。優秀な開発者はAIを活用できますが、スキルの低い開発者も面接や初期評価でより有能に見える可能性があります。

「スキルがなければなりません。AIは面接の質問に答える手助けはしてくれますが、実際に仕事に就いた時には役に立たず、誰かの能力が面接時と実際に合っていないことはすぐに分かります」と彼女は言います。

これはすでに手一杯なCISOたちにとって、さらに難易度を上げる要因です。「AIによって、候補者の本当の能力を見極めるのがますます難しくなっています」と彼女は言います。

AIツールはスキル不足を隠すことができ、CISOが新たなコントロールやツールで簡単に解決できる問題ではありません。「AIの助けで面接はうまくこなせても、基本的な技術知識がない人を採用してしまうリスクがあります」と彼女は言います。「部門独自の知識や、導入する技術への深い理解が必要で、それがなければAIは助けになりません。」

速く動くプレッシャー、でも壊してはいけない

Fortitude ReのCISO、Elliott Franklin氏を夜も眠れなくするのは、脅威アクターだけではなく、CISOたちが日々格闘している内部の複雑さです。「私たちの多くは、もともと連携を想定していなかったツールやプラットフォームの寄せ集めを管理しています」とFranklin氏は言います。

時間が経つにつれ、コンプライアンス対応やインシデント対応、監査のために様々なソリューションが積み重なり、CISOはそれらを何とか一つのまとまりにしようとしていますが、構造自体が本質的に脆弱だとFranklin氏は指摘します。「脆弱になればなるほど、何かが壊れる可能性が高まります。そしてそれが起きた時、責任を問われるのはセキュリティ部門です。」

サードパーティリスクは状況をさらに危険にし、Franklin氏は最近のマクドナルドの採用ボット侵害事件を好例に挙げます。これはベンダーが管理者パスワードに「123456」を使用していたことが原因でした。「これは最先端の国家的ハッキングではなく、ほとんどの組織なら内部で見つけられる基本的な失敗です。しかしパートナーの場合、私たちのコントロールは限られ、責任は免れません」と彼は言います。

また、目新しいツールに飛びつくあまり、基本が見落とされている問題にもつながります。「派手な技術が基本的なセキュリティの失敗を隠している好例です。私が夜も眠れなくなるのは、イノベーションの欠如ではなく、基本を忘れてしまっていることです」と彼は言います。

同時に、セキュリティチームはイノベーションを妨げずに推進することが求められています。「しかし、セキュリティが初期段階から関与しなければ、誰の利益にもならない受け身の姿勢を強いられます。攻撃者も心配ですが、私がより眠れなくなるのは、脆弱なインフラでスピードを求められる内部プレッシャー、検証せずにサードパーティを信頼すること、基本を飛ばして新技術を追いかけることです」と彼は言います。

AIはこれらの課題を悪化させており、根本的な問題を解決するものではないとFranklin氏は警告します。「意味があるところではAIを活用すべきだと考えています。手作業を減らし、スピードを上げるためにAIを積極的に使っています。しかし正直に言わなければなりません。AIは壊れた基本を修復するものではありません。」

組織はAIがどこで使われているか把握することすら苦労しており、そのセキュリティ対策はなおさら困難です。「可視性がなかったり、アクセス制御が弱かったり、アラートの確認がされていなければ、AIはさらなる複雑さを加えるだけです。さらに悪いのは、AIによって実際よりも安全だという錯覚を経営陣に与えてしまうことです」とFranklin氏は言います。

ディープフェイクが大きなセキュリティ問題に

ディープフェイクは、従業員のなりすましキャンペーンを可能にする新たなセキュリティ脅威として浮上しています。このAI駆動の脅威が高度化する中、CISOたちはこれらの攻撃を防ぎ、検知し、組織を守るという大きな課題に直面しています。

ディープフェイク従業員とは、AIを使ってリモート面接中に誰かになりすますことです。Aaron氏の組織では、候補者と履歴書の不一致や、リモート面接で名前と人物が一致しないケースを検知しています。多くの組織がリモートで面接を行う中、これらの脅威の特定とブロックにより注意を払う必要があります。

ディープフェイクは今後注意を払うべき問題だとAaron氏は言います。規制が技術に追いついていない中、セキュリティ担当者だけで戦うことはできません。「ベンダーと深いパートナーシップを築き、何が可能かを全員で理解し、それらに最大限対抗できるようにする必要があります」と彼女は言います。

フィッシングの見抜きが難しくなっている

フィッシングメールは、生成AIの登場でサイバー犯罪者が利用できるようになり、より現実的で件数も増加しています。攻撃者は英語を完璧に模倣できるようになりました。「もう下手な英語で書かれたメールはありません。[サイバー犯罪者は]情報を集めて、非常にリアルなフィッシングメールを送りつけてきます」とAaron氏は言います。

「私を夜も眠れなくするのはAIそのものではありません。人間らしさを模倣するAIの能力こそが、私を眠れなくさせるのです」と彼女は言います。

セキュリティの優先事項とビジネス成果の結びつけ

CISOの役割には独自の悩みや心配事があります。セキュリティ施策をビジネス価値に変換するという課題は、最も難しく、しかし最も重要な役割の一つになりつつあります。「セキュリティの優先事項をビジネス成果に結びつける力は非常に必要とされており、難しいですが、CISOが経営層で価値と影響力を発揮するにはますます不可欠です」とKeren氏は言います。

成功は「起きなかったこと」で測られるため（侵害なし、脆弱性の減少、新ツールの導入など）、評価が難しいものです。経験豊富なセキュリティリーダーは、特に市場の影響を受けるビジネスで、評価基準を適応させることを学んできました。「私たちはビジネス部門であり、会社の株価で評価されます」とKeren氏は言います。

しかし、ビジネス志向のセキュリティリーダーになるための明確な道筋がない中、CISOたちは最善の進み方に不安を感じています。「CISOがビジネスを理解し、ビジネスのリズムに加わることで連携できるようにするのは、確かにビジネス側の役割です」と彼は言います。

Keren氏は、CISOがセキュリティをビジネスメトリクスに変換する方法をよりよく理解するために、ターゲットを絞ったトレーニングや教育、メンタリングを受けることを勧めています。

営業やプロフェッショナルサービスのエグゼクティブ経験を持つAgeroのCISO兼CIO、Bob Sullivan氏は、強いビジネスマインドを培ってきました。彼はメトリクスをビジネスミッションに結びつけ、セキュリティリスクがビジネスにどのような損害を与えるか、あるいは与えないかを示しています。

例えば、脆弱性のリストは一見悪いものに見えますが、どれが無害で外部に公開されていないため現実的な脅威が少ないのかを説明できれば違います。ビジネスにリスクとなるものについては、Sullivan氏は脅威経路を可視化し、どのようにして個人情報（PII）に到達し、それが侵害され売却または公開されれば大きな影響があるかを示します。「クラウド内の設定ミスだと言うだけでは意味がありません。しかし可視化できれば、その文脈を作り、ビジネスストーリーに結びつけられます」とSullivan氏はCSOに語ります。

多くの意味で、それはリスクを金銭的または評判への影響で定義することです。なぜなら、それがビジネス存続の基本だからです。「サイバーの専門家として、ビジネスの言葉で話せなければ、誰も耳を傾けてくれません」と彼は言います。