出典:Thomas Wolter(Pixabay経由)
話のテーマは、人に起因するリスク(ヒューマンリスク)プログラムの改善のはずだった。ところが実際には、最高情報セキュリティ責任者(CISO)の役割がどれほど変化したのかを映し出す窓となった。
Fable SecurityのCEO兼共同創業者であるNicole Jiangは、保険業界の顧客と話していた。その顧客は複数の専門事業にまたがるセキュリティを統括していた。M&A(合併・買収)が加速する中、そのCISOは個々のツールやコントロールよりも、より広い使命に追われていた。すなわち、新たに買収した事業を稼働させ続けるために、十分なスピードでセキュリティを統合することだ。
「彼は終始、自社の事業をどう守ろうとしているかを話していました」とJiangは言う。「新たなM&Aを守ろうとしている。M&Aの構造が統合されていく中で、迅速に生産性を上げられるよう、すべてのITシステムのセキュリティを本当に素早く導入できるようにしようとしているのです」
Jiangにとって、このやり取りは目を見張るものだった。同時に、業界を問わず組織が直面する、より大きく拡大しつつある問題も浮き彫りにした。CISOは、事業リーダー、リスク担当役員、取締役会の助言者、危機管理者として同時に機能することを求められている。しかし、多くのCISOは、組織が買収の影響を吸収しきるよりも早いペースで、その職を回転させている。
平均的なCISO在任期間は現在18〜26カ月程度で推移している。これは複数の業界推計によるものだ。別の業界調査では、66%が過度な期待に直面していると回答し、63%が過去1年以内に燃え尽き(バーンアウト)を経験した、または目撃したと答えている。同時に、2024年にHeidrick & Struggles が実施した調査では、回答したCISOのほぼ半数(47%)が、適切な社内後継者を確保できていないことが分かった。
その結果は、単なる経営層の入れ替わりにとどまらない。セキュリティプログラム、チーム、そしてリスク姿勢全体に波及する不安定さを生む。
燃え尽きるように設計された役割
Jiangはキャリアの大半でCISOと密接に仕事をしてきた。Abnormal Securityで、そして現在はFableを通じてだ。期待が拡大し続けるにつれ、セキュリティリーダーにかかるプレッシャーは強まっているという。
「優れたCISOのことを考えると、技術的な腕があり、オペレーターであり、リーダーであり、従業員を安全に守ります」と彼女は言う。「さらに、新しいポリシーを常に進化させ、コンプライアンスも維持しなければならない。取締役会に対して、最もリスクの高い数値やデータの一部を報告し、同時に事業のための大きな予算も管理している。1人で5つの仕事をしているようなものです」
脅威環境は静的ではなく、それを管理する役割もまた固定されていない。Jiangは、この絶え間ない変化こそが燃え尽きの主要因だと見ている。
MandosのフラクショナルCISOでCybersecTools創業者のNikoloz Kokhreidzeも同意する。Kokhreidzeによれば、燃え尽きの主因は、期待と組織的支援のミスマッチだ。このギャップにより、CISOは制約を感じ、責務を十分に果たせないと感じるようになるという。
多くのCISOはいまだに別のC-suite(経営幹部)にレポートしているとKokhreidzeは言う。これにより影響力が制限され、全社リスクに責任を負いながらも、全社レベルの権限を持てない状況に置かれる。
「セキュリティは、ニッチな技術領域から、組織全体のミッションへととっくに移行しています」と彼は言う。「CISOはセキュリティプログラムを定義し、実装し、実行することを期待されますが、その戦略を実行するために必要な全社的支援を得られないことが少なくありません」
絶え間ないリセットの代償
燃え尽きが短い在任期間につながることは、単なるリーダーシップの問題ではない。運用面に直接の影響を及ぼす。Jiangは、CISOの交代後に実際の混乱が起きるのを見てきたという。特に、継続運用を前提に設計されたセキュリティ業務が、リーダー交代によって中断される場合だ。
「セキュリティは24時間稼働のオペレーションです」と彼女は言う。「その混乱があると、攻撃者に被害を与える機会を与えてしまう。プロジェクトが止まるのを見ます。コントロールの実装が遅れるのも見ます」
取り組みが停滞するだけでなく、交代は、すでに負荷の高い状態で動いているセキュリティチームから、組織固有の知見や有用な人脈を奪っていく。
「セキュリティチームには暗黙知がたくさんあります」とJiangは言う。「共有されている連絡先なども多く、それを作り直さなければならない。しかもそれには時間がかかります」
Kokhreidzeはこのパターンを繰り返し目にしている。CISOの平均在任期間が18〜26カ月では、「リスクを評価するだけで精一杯で、ましてや修正するには足りない」と彼は言う。「セキュリティプログラムは複数年にわたる取り組みですが、絶え間ない離職は、そのたびに時計をゼロに戻してしまいます」
なぜ後継者計画は失敗するのか
累積的な影響は劣化として現れる。コントロールが成熟するまでには数カ月を要する。文化への投資は目減りする。チームは実行よりも、背景の説明を繰り返すことに時間を費やす。しかし、CISOの役割が不安定であることを示す証拠が何年も積み上がっているにもかかわらず、多くの組織はいまだにリーダー交代への備えができていない。
Jiangの見立てでは、問題の一部は、セキュリティ組織が設計上スリムであることにある。「たいてい、層がとても薄いんです」と彼女は言う。
さらに、その層は取締役会レベルのリスクやガバナンスに触れる機会も少ないとJiangは説明する。「だから後継者計画が発動すると、まだ経験が十分でない次の人を昇格させることになるのです」と彼女は言う .
Jiangは、リーダー交代による混乱を減らす方法として、セキュリティチーム内の冗長性と明確に定義されたオーナーシップを挙げる。
「一番手っ取り早いのは、暫定担当者を指名し、プログラムに冗長性があることを本当に確実にすることです」と彼女は言う。「セキュリティプロセスの各部分を誰が担うのかを事前に定義しておくのです」
Kokhreidzeはより率直だ。「多くの組織はいまだにCISOの役割を、セキュリティを立て直すためにシニアリーダーを連れてくる“ヒーロー採用”のように扱っています」と彼は言う。「しかし、その人のためのリーダーシップ・パイプラインを構築する投資をしないのです 」
Kokhreidzeは、パイプラインを修復するには、個人の育成だけでなく、セキュリティリーダーシップの作り方そのものに構造的な変更が必要だと主張する。
「この移行から得るべき教訓が一つあるとすれば、CISOはもはや単一の役割ではなく、ひとつの組織全体だということです」と彼は言う。「CIOやCTOに副官やVPがいて活動を支えるのと同じように、CISOにもそれが必要です」
ベテランCISOでCyvergence創業者のMatthew Websterは、構造上の位置づけも大きな役割を果たすと指摘する。企業によっては、CISOのパイプラインが欠ける理由は、リーダーシップの失敗、経営層の盲点、構造的欠陥、あるいはそのすべてだという。
「後継者計画が必要だと考えないCEOもいます」と彼は言う。「また、ITリーダーが自分たちをセキュリティのオーナーとして位置づけ、そうした場合CISOは二番手にされてしまうこともあります」
離職の背景にある要因が何であれ、リセットのたびに現実的な代償が伴う。戦略的イニシアチブは停滞する。取締役会との関係は一からやり直しになる。リスクの優先順位は新しいリーダーが来るたびに変わる。チームは、実行する代わりに同じ背景説明を繰り返すプレッシャーの下で燃え尽きていく。
「結果として、成熟しない断片的なプログラムになり、必要不可欠なレジリエンスを築くのではなく、常にやり直し続けることになります」とKokhreidzeは言う。
Websterは、継続性は最終的に、組織がセキュリティを事業機能としてどれほど真剣に扱うかにかかっていると主張する。彼の見方では、CISOが全社リスクの説明責任を負わされながらも、意思決定に影響を与えるための他のシニア幹部と同等の立場を与えられないとき、継続性は崩れる。
「組織全体のリスクを担わせる一方で、二流の影響力しか与えないというのは無理があります」と彼は言う。
