2026年にCISOが習得すべきスキル

30年前、スティーブ・カッツがCiticorp/Citigroupで世界初のCISOになったとき、彼は自分の役割がテックで問題を解決する以上のものだとすぐに気づきました。カッツは高いコミュニケーション能力を持ち、経営層（Cレベル）と会い、リスクを減らすためにできる限りのことをしなければなりませんでした。

「私が持ってきた基本的な考え方は、データセキュリティ、情報セキュリティ、情報リスクは、テクノロジーの問題ではなくビジネスリスクの問題だということです」と彼はインタビューで語っています。

カッツは、効果的なCISOには技術スキルとソフトスキルの融合が必要だと気づきました。つまり、新興技術だけでなく事業戦略も理解しなければなりません。そして2026年には、厳しい予算と地政学的緊張に特徴づけられる困難な状況の中でCISOが活動するため、状況はさらに複雑になります。

役割が進化するにつれ、かつてCISOの役に立っていた一部のスキルは、もはや差別化要因ではなくなりました。その代わりに、新たな能力が注目を集めています。特に、新興テクノロジーに結びついたものです。今日のCISOは、クラウドネイティブなインフラ上に構築された世界を航行し、AI生成の攻撃に直面し、変化する規制ルールに対応しています。

この文脈では、CISOは阻害要因ではなく、成長を可能にする存在である必要があります。

「2026年に成功するCISOは、技術的な門番というより、ビジネス価値とレジリエンスのエグゼクティブにずっと近い姿になるでしょう」と、Cyber Resilienceの共同創業者で、スタンダードチャータード銀行の元グループ最高情報セキュリティリスク責任者であるDarren Argyleは言います。

今日のCISOには、境界を守るだけでなく、戦略に影響を与え、投資を確保し、変革を導くことが期待されています。そして適切なスキルの組み合わせがなければ、それらすべてを実行することは不可能です。

2026年のCISOに必須のスキル

2026年に強いCISOとは何かをセキュリティ専門家に尋ねると、繰り返し挙がる資質が3つあります。ビジネスとより広い世界に対する深い理解、AIに関する強い知識、そして文化を形づくり影響を与える能力です。

最初の「ビジネスと、それが活動する世界を理解すること」は基盤です。より広い文脈を把握しているCISOは、新たな脅威を見抜きやすく、セキュリティを事業目標に整合させ、レジリエンスを高め成長を支えるより賢明な意思決定を行えます。

この知識は、リスクが表面化する前に重要な意思決定を形づくる立場にも彼らを置きます。まさにそこに現代のCISOはいる必要があります。「CISOは、統制を強制するだけでなく、戦略に影響を与える能力を意図的に培わなければなりません」と、Singulr AIのCSOであるRichard Birdは言います。

CISOが「ビジネスの翻訳者」として機能し、セキュリティを単なるコストではなく価値の推進要因として位置づけられれば、経営のテーブルで確かな席を得られます。「ビジネスを理解していると見なされるCISOは、門番として置かれるのではなく、仲間として受け入れられます」と、WithSecureのCISOであるChristine Bejerascoは言います。

この協働は多くの場合、双方にとって有益です。「セキュリティが戦略的意思決定により深く統合されるにつれ、価値を双方向に言語化する能力が不可欠です」と、HackerOneの副CISOであるBlake Entrekinは付け加えます。

しかし、組織内での社会的な力や影響力は、取締役会にアクセスできることだけで決まるわけではありません。あらゆるレベルで信頼とセキュリティ意識を築くことからも生まれます。これは、人々の日々の仕事に対して真摯な関心を示すことで実現できます。

「すでにそこにいる人たちの仕事を活用して、組織のさまざまな領域にセキュリティをどう埋め込めるか、そして既存のプロセスにセキュリティを織り込める程度に、彼らを必要十分にどう訓練できるかを考えてください」とBejerascoは言います。

2つ目の重要なスキルの柱は人工知能です。CISOはAIの現状を理解し、最新の脅威や悪用事例を把握しておく必要があります。この知識は、「AIをあらゆるものに組み込もうと狂奔しがちな組織に、ある種の正気をもたらす」助けになりますとBejerascoは言います。「あなたはもはや新技術の採用を妨げる反対者ではありません。会議室でより健全な声になるのです。」

AIシステムが得意な領域と不得意な領域を理解することで、CISOは導入を適切に導けます。しかし技術的知識だけでは不十分です。取締役会が理解できるビジネス言語に、複雑なリスクを翻訳して明確に伝える必要もあります。

例えば次のように言えるでしょう。「財務・運用・評判の観点でのリスクはこれで、投資のトレードオフはこれです」とArgyleは言います。「代替不可能なCISOは、AIをビジネスの費用対効果分析の増幅器として使いつつ、判断とストーリーテリングはあくまで人間が担います。組織がAIとデータをどう使っているかを、信頼性をもって問い直せないなら、目隠しで飛んでいるようなものです。」

トレーニングに関してArgyleは、CISOが「AIガバナンス、LLMの安全な利用、データ保護、モデルリスク」に関する「信頼できるコース」を、できれば大学や業界で認知された提供者から受講することを勧めています。

CISOが犯し得る誤りの一つは、AIについて十分に理解していると決めつけ、情報に基づく意思決定ができると思い込むことです。しかしこの分野は進化が速すぎて、固定的な知識では足りません。「AIは偵察から悪用までの時間をさらに圧縮し続けるため、CISOは敵対者がAIをどう使うか、そして防御側が同じツールをどう活用して先手を取るかを予測する必要があります」とEntrekinは言います。

最後に、2026年の3つ目の必須要件は、組織のあらゆるレベルに強固なセキュリティ文化を築くことです。Argyleの言葉を借りれば、「サイバーは20%がテクノロジーで、80%が行動」だからです。

「際立つCISOは、取締役会の語り口を、文化変革への積極的支援へと転換できる人です」と彼は言います。「文化が根づいていると分かるのは、事業全体のチームがセキュア・バイ・デザインの原則を第二の天性のように適用するようになったときです。」

主要な技術スキル

AIシステムに関する強い知識に加えて、今日のCISOには、現代の企業環境を規定するテクノロジーに関する確かな基礎が必要です。(ISC)² CISSPは、セキュリティアーキテクチャ、リスク管理、ガバナンスに関する幅広い専門性のゴールドスタンダードとして、依然として広く認識されています。「規制当局はこれを期待しますし、ほぼすべてのCISO求人に載っています」とArgyleは言います。

Cyber Leadership InstituteのCyber Leadership Programも高く評価されています。このプログラムは、戦略を形づくり投資を確保するためにCISOが必要とするリーダーシップと影響力のスキルに焦点を当てています。

他に有用な資格としては、CCSPのようなクラウドセキュリティアーキテクチャに関連するものがあります。「クラウドセキュリティの理解がない場合、これらのコースは共有責任モデル、アイデンティティ主導のセキュリティ、そして現代のインフラが大規模にどう動くかを理解する助けになります」とBejerascoは言います。

最後にBirdは、サイバーセキュリティリーダーシップにおける財務リテラシーの重要性が高まっていることを強調します。「取締役会は、CISOが技術的スコアではなく財務的な観点でリスクを表現することをますます期待しているため、現代的なリスク定量化やサイバーエコノミクスのコースは重要です」と彼は言います。

主要なソフトスキル

技術スキルとは別に、CISOは戦略立案、コミュニケーション、リーダーシップのあり方でも評価されます。2026年には、攻撃者だけでなく、取締役会、規制当局、ベンダーなど、あらゆる方面からの圧力に直面することが想定されます。

「戦略的判断力は基盤です」とBirdは言います。「特に、介入すべきときだけでなく、行動しない判断をいつ下すかを知ることも含めて。」

戦略的判断力を磨くことは、パターン認識――インシデント、脅威インテリジェンス、そして企業のより広いビジネス文脈を結びつけること――から始まります。そのうえでCISOは、その複雑さを、明確で実行可能な少数の選択肢へと蒸留し、それぞれに定義されたリスク、便益、コストを付与する必要があります。「それが、悲観的な報告書から戦略アドバイザーへ移る方法です」とArgyleは言います。

2026年には、戦略的思考における倫理的側面が増していくでしょう。Birdによれば、最も明確な試金石の一つはAI主導の環境で現れ、CISOは明確な法的ガードレールがない中で複雑な意思決定を行わなければなりません。これは彼が言うところの、「法的指針が技術的現実に遅れるときに、リーダーとオペレーターを分ける」領域です。

災害が起きた場合、重要な意思決定をその場の緊迫した状況で下さなければならないこともあります。そうした状況では、プレッシャーの中でも冷静でいられる能力が不可欠です。「最初の72時間におけるCISOの仕事は、温度を下げ、曖昧さから明確さを生み出し、取締役会、当局、規制当局、顧客、従業員との信頼を守ることです」とArgyleは言います。

2026年に習得すべきもう一つのソフトスキルは、連携体制を築き、プロダクト、データ、法務、人事、財務、調達、そして外部パートナーと上手に交渉する能力です。これは、CISOが直接の権限なしに影響力を行使する方法を学ぶ必要があることを意味します。「セキュリティは孤立して運用できません」とEntrekinは言います。「影響力と協働が鍵です。」

これと密接に関連するのが、コミュニケーション能力、規制の言語で話す力、そして技術・法務・ビジネスの世界を流暢に行き来する力です。「取締役会にビジネス用語で話せるようになったことで、年3回必要だった取締役会向け報告が年2回に減りました」とBejerascoは言います。「彼らは理解し、私が対応できていることを理解できているという自信を持ちました。それは私にとっても、彼らにとっても役に立ちました。」

これらのスキルはすべて、チームの他のメンバーにも伝えていかなければなりません。CISOの役割の重要な部分は、メンタリングを行い、成長の機会を作り、チームメンバーが徐々に自らリーダーシップを担えるよう支援することです。「人材への投資は、継続性、レジリエンス、そして長期的な組織能力を確保します」とEntrekinは言います。

主要スキルを身につけるための低コスト戦略

多くのCISOやフラクショナルCISOは学び続けたいと考えていますが、その意欲に見合う予算が常にあるとは限りません。正式なコースや資格は数千ドルに達することがあり、さらに業務から離れる時間も必要です。それでも専門家は、低コストの解決策があると主張します。

その一つが、地域のCISOコミュニティを活用することです。これは、専門家同士がプレイブックを比較し、インシデントの経験談を交換するピアグループやラウンドテーブルに参加することを意味します。CISOはメンターを見つけたり、逆に若手専門家のメンターになったりすることもでき、コミュニティに還元しながらスキルを強化できます。「地域のCISOコミュニティは、共有知識、ピアサポート、集合知へのアクセスを、ほとんどまたはまったく費用をかけずに提供できます」とEntrekinは言います。

ベンダー、クラウドプロバイダー、パートナーも、無料トレーニングに加えて、参照アーキテクチャやプレイブックを提供していることが多いです。「賢いCISOは、契約の一部として学習アクセスやワークショップを交渉します」とArgyleは言います。

もう一つの低コスト戦略は、大規模言語モデルを使って新興トピックを探究することです。これらのツールは論文や脅威インテリジェンスレポートを要約し、演習シナリオを生成し、戦略の「スパーリングパートナー」として機能します。AIのサブスクリプションは比較的手頃で、経営層は組織内で廃止されたハードウェアを転用することもできます。この種の環境により、CISOは大きな予算や正式なプログラムを必要とせずに、AIの能力、限界、リスクを直接検証できます。

Bejerascoはまた、本を読むことを勧めています。「交渉、リーダーシップ、意思決定、戦略に関する本は特に有用で、形式的な研修よりも、CISOの役割に直接適用できることが多いです。」

しかし、見落とされがちなもう一つのリソースは、CISO自身のチームです。Argyleは、社内の「学習ループ」を作ることを提案しています。リスクの専門家、エンジニア、アーキテクト、プロダクトオーナーが互いに教え合う、短時間で低コストのブラウンバッグセッションです。「予算不足は制約ですが、言い訳にはなりません」と彼は言います。「私が知る最高のCISOは、常に自律的な学習者でした。

関連性が低いコース

すべてのコースや資格がCISOの履歴書に価値を加えるわけではありません。サイバーセキュリティのキャリア初期には有用な資格でも、エグゼクティブ職に到達する頃にははるかに関連性が低くなることがあります。例としては、一般的な入門レベルのセキュリティ資格や、システムアーキテクチャではなくボタン操作に焦点を当てたツール特化の資格などが挙げられます。

「無意味ではありませんが、もはや上級セキュリティリーダーシップのシグナルとして扱うべきではありません」とBirdは言います。

2026年のCISOにとって差別化要因としての有用性が低い資格には、単一ベンダーの製品特化資格も含まれます。特定のファイアウォールやエンドポイントソリューションに関する深い専門性は過去には価値があったかもしれませんが、CISOの役割にある人にとっては、もはや大きな重みを持ちません。

「CISOレベルでは、今や決定打になることはほとんどありません。アーキテクチャは異種混在で、私たちはますます、英雄的な単体製品ではなくプラットフォームとしての成果を買っています」とArgyleは言います。「これらの資格は専門家には良いですが、エグゼクティブにとっては大きく状況を変えるものではありません。」

実世界のトレードオフに向き合うことを参加者に求めず、標準を暗記して試験に合格することだけに焦点を当てたコースも、エグゼクティブレベルでは価値が低下しています。「CISOには、コンプライアンスを成果に変えることが期待されており、標準の条項を暗唱することではありません」とArgyleは言います。

とはいえCISOにとって、資格は必要条件ではあっても十分条件ではありません。経験に裏打ちされる必要があります。雇用主が求めているのは、セキュリティプログラムをエンドツーエンドで運用し、プレッシャー下で厳しいトレードオフを行い、自信を持ってインシデントを管理し、自信を持って取締役会と関与できるリーダーです。競争の激しい雇用市場では、長い資格リストがあっても、実務経験に裏付けられていなければ大きな助けにはなりません。