出典:Jacob Lund(Alamy Stock Photo)
企業は、最高位のサイバーセキュリティ責任者にChief Information Security Officer(CISO)の肩書きを与え、上級幹部として扱う傾向を強めている。これは、世界がいかにデジタルに依存するようになったかを反映している。CISOたちは、この傾向がサイバーセキュリティが企業にとっていまや極めて重要であることを示している点では一致するが、追加的なメリットが何かについては必ずしも明確ではない。
攻撃やデータ侵害が増加する中で、効果的なサイバーセキュリティ戦略を実装することは、組織のインフラにとって最重要事項だ。さらにコンプライアンスの観点もある。新たな法律・規制・標準が次々に登場し、企業が追随しきれないほどのスピードで変化している。
デジタルをめぐる緊張が高まる中、企業はセキュリティリーダーをCISOとして位置付けている。IANSとArticoによる新しいレポートによれば、初めて、エグゼクティブ(経営幹部)レベルのCISO肩書きが、市場においてVP(副社長)やディレクター(部長)レベルの肩書きよりも大きな割合を占めるようになった。レポートはさらにこう分解している。「大企業では、エグゼクティブレベルの比率が2023年の33%から2025年には47%へ増加し、特に大規模な上場企業ではさらに急増した。」
データが増えれば、意思決定も増える
業界を問わず、企業がより多くのサイバーに関する洞察を必要としているのは驚くことではない。攻撃対象領域は拡大しており、脅威は内外からやってくる。ランサムウェアが過去最高水準に達しているだけでなく、営業、研究開発、マーケティングの各チームが独自のツールを導入するようになり、それらには厳格なセキュリティが求められる――特に人工知能に関してはなおさらだ。
こうしたさまざまな事業部門にとってデータが重要になるにつれ、データをどう保護し、プロセスをどう確立するかについて、リーダーには指針が必要になると、IANSでCISOリサーチのシニアディレクターを務めるNick Kakolowskiは説明する。
「3年、4年、5年(前)には、多くのCISOはこう言われていました。『バックオフィスで働け。君はIT機能だ。データを安全に保て。侵害が起きない限り、こちらを煩わせるな』と」KakolowskiはDark Readingに語る。
今年は「転換点」を迎え、組織はセキュリティを優先し、それを経営機能にしなければならないと気づいたという。VPレベルのCISOはほぼ姿を消した、と彼は付け加える。
規制がCISOの設置を求める
規制遵守は、経営層へのシフトを促す主要因の一つだ。CISOは、規制環境と技術環境の双方、データ管理とセキュリティのベストプラクティス、そして企業が直面するサイバー面と物理面の課題の両方を理解している数少ない存在だとKakolowskiは言う。
Upwind SecurityのCSOであるRinki Sethiも、CISO、Chief Trust Officer、Chief Resilience Officerなど、より多くのセキュリティリーダーがCレベルの肩書きを持つようになったという実際の変化を観察している。彼女はまた、この移行を規制および開示に関する圧力の増大に起因すると述べた。
企業は新たな報告ルールに従わなければならない。特に重要インフラ分野では、米国証券取引委員会(SEC)が義務付ける、より迅速な開示期限への対応も含まれる。
「これは事業にとって極めて重要な機能であり、危機時のプレッシャーやコミュニケーションに対処するには経験豊富な経営幹部が必要です」と彼女は言う。「サイバーセキュリティはいまや企業リスクであり、単なる技術リスクではありません。これは取締役会レベルで議論されるべき懸念事項です。」
DeVry UniversityのVP兼CISOであるFred Kwongも、規制変更を挙げた。改正後のGramm-Leach-Bliley Actは、対象となる組織に対し、組織内に適格なセキュリティ責任者を指名することを求めている。これは金融機関に適用されるが、その定義は広くなり得る。また、ニューヨーク州に拠点を置く金融機関と取引する企業は、ニューヨーク州金融サービス局(NYDFS)の規則に準拠するため、指名されたCISOも必要になるとKwongは付け加える。
「これらの変更はすべて、より多くの組織が侵害を受ける中で、組織がサイバーセキュリティを真剣に捉えていることを担保するための説明責任を確保することに基づいています」とKwongは言う。
しかし、燃え尽きはどうなる?
CISOの潮流は今後10年で「段階的に」高まっていくとKakolowskiは言う。だが、セキュリティチームの統括、サイバーリスク管理の評価、取締役会リーダーとの効果的なコミュニケーションの理解が求められるサイバーセキュリティリーダーにとって、それがどれほどの利益になるのだろうか。
CISOは歴史的に絶え間ない燃え尽きに直面してきた。セキュリティ担当者の業務は、規制、技術、サイバー、物理の責任であふれている。少し遅れてはいるものの――CISOは精神的・身体的な困難を訴え、それが高い離職率につながっている――支援が増えている可能性もある。
IANSレポートによれば、経営幹部レベルの肩書きを得ることは、CISOの間で「ビジネスに影響力を及ぼすために不可欠」と広く見なされている。戦略的な議論の場で席を得られ、セキュリティの優先順位付けにも役立ち得る。
「C-suite全体に影響力を生み出す能力こそが、エグゼクティブCISOを成功させるものです」とKakolowskiは言う。確立されたセキュリティプログラムがあり、CISOがセキュリティチームに委任できる環境では、燃え尽きは大きな問題ではない。
しかし、責任範囲が拡大し、CISOが解決しなければならない問題がより複雑になる環境では、燃え尽きは重大な問題になる。リソース不足に直面し、「期待に応えられない」とKakolowskiは言う。
「CISOは結局、あらゆる人のあらゆる問題を解決することになり、不可能な仕事になってしまうのです」と彼は言う。
中小企業と大企業の比較
リソース不足は中小企業でより一般的な問題であり、おそらくそれは変わらない。IANSは、売上高が1億ドル未満の企業のCISOの66%がエンタープライズ・リスク・マネジメントも兼務しているのに対し、50億ドル超の企業のCISOでは20%にとどまることを見いだした。
当然ながら、研究者はそれを、大企業には通常、専任のリスク機能領域があるためだとした。大企業で働くCISOには、経営職としての支援が与えられ、プライバシー、リスク、法務といった専任の事業機能が一部の負担を軽減する。
より小規模な組織では、経営チームが比較的フラットで未成熟であり、CEOと他の幹部の間に多くの階層がないため、CISOが経営幹部層へ一気に押し上げられるのだとKakolowskiは説明する。
「そうしたCISOは、非常に広い範囲と責任を伴う巨大な仕事に就く一方で、日々の運用を手を動かして回すことも期待されます」と彼は付け加える。
CISOは何と言っているのか?
CISOという肩書きの増加は、企業があらゆる領域でセキュリティ専門家にどれほど依存しているかを認識していることを示している――サイバーセキュリティが関係なさそうに見える場合でさえも。とはいえ、肩書きは単なる肩書きなのか。それとも、より重みを持つのか。
「CISOの取り組みを支える資金がない限り、CISOにとって利点があるのかは分かりません」とKwongは言う。「むしろ、少し逆張りの見方をすれば、穴を埋めるために、CISOにふさわしい資格のない人までCISOになっている面もあります。」
Cレベルの肩書きの最大の利点は、リスクとセキュリティの議論が組織の最上位で行われることだとSethiは言い、IANSレポートの統計にも呼応する。これによりCISOは、他部門のビジネスを理解し、リスクに先回りして意見を述べやすくなる。
「CISOにとってのメリットは、肩書きそのものではありません」とSethiは言う。「しかし『C』は、その役割の重要性と格上げ、そして企業がサイバーセキュリティ機能をどれほど真剣に捉えているかを示します。」彼女は依然として、小規模企業や、セキュリティがITの下位機能として扱われている場合には、「VP, Information Security」や「Director, Information Security」も見かけるという。
DrataのCISOであるMatt Hillaryは、CISOの肩書きが増えているのはその役割が必要とされているからだと説明する。ただし彼は、過去10年を振り返ると、VPやセキュリティディレクターといった肩書きを持つセキュリティ専門家は、実質的にその会社のCISOだったとも付け加える。別の会社で初めてCISOになったときも、実質的には同じ役割であり、意思決定への影響力に変化はなかったと彼は言う。
「肩書きに『C』が付いていても、経営幹部層の一員ではない人もいます」と彼は言った。「私たちの多くは、最上位の状態、つまりCISOへ向かっています。」
