取締役会へのアクセス不足：CISOの不満の最大要因

サイバーセキュリティリーダーたちは、自分たちの仕事を遂行するためには組織の取締役会と関わる必要があることに同意しています。しかし実際には、取締役会との関与は遅れており、そのギャップがCISOの仕事満足度を下げています。

IANSとArtico Searchによる「2025年中小企業向けCISOの報酬と予算レポート」によると、中小企業のCISOのほぼ半数（40%）が取締役会へのアクセスがほとんどない、または全くないとされています。取締役会と関わることができないCISOのうち、半数が自分の仕事に不満を感じていると報告しています。一方、四半期ごとに取締役会へアクセスできるCISOで仕事に満足していると答えたのはわずか8%でした。

「一部の企業では、CISOは下から上がってきた役職で、責任を負わされるだけで、実際に仕事をするために必要な権限やアクセスが与えられていません」と、XiFinのCISOであり、最高法務責任者兼コンプライアンス責任者、ISACAのメンバーでもあるMarty Barrack氏は語ります。「CISOとして仕事をするなら、取締役会へのアクセスが必要です。」

CISOは、取締役会との断絶が自分たちの職務遂行能力にどのような影響を与えるか、また、望ましいアクセスを得た際にどのように取締役会と実りある関係を築くかを考える必要があります。

取締役会へのアクセス不足が仕事の不満につながる

取締役会にアクセスできないCISOは、しばしば組織内で埋もれてしまいます。「多くの企業では、ディレクターやシニアマネージャーレベルで採用し、それをCISOと呼んでいます。しかし、実際にCISOの業務を遂行できる権限や範囲が与えられていません」とLogicGateのCISO、Nick Kathmann氏は語ります。

こうしたCISOは、取締役会やCEOに直接報告する代わりに、CIOやCTO、または他の経営幹部に報告することになりますが、このような報告体制には問題が生じることがあります。CIOやCTOは新しい技術の導入を担当することが多いですが、CISOの仕事はリスクを特定し、組織の安全を確保することです。

「CIOがそのリスクを好まなかったり、リスクを解決するための行動を取りたくない場合、CIOはできる限りCISOを抑え込もうとします」とKathmann氏は述べています。

CISOは、セキュリティインシデントが発生した際に責任を負わされることが多いですが、実際にはリスクを取締役会に伝え、リスク管理のための十分な賛同を得る機会が与えられていません。このような状況は、すぐにフラストレーションや仕事への不満につながります。

Barrack氏はCISOコミュニティの積極的なメンバーです。彼はISACAサンディエゴ支部を通じて交流する同僚から、こうした不満の声をよく耳にすると言います。「私が関わる典型的なCISOは、あまり満足しておらず、仕事で成功するための十分な権限を与えられていません」と彼は語ります。

CISOの不満は、しばしば短い在任期間にも表れています。Cybersecurity Venturesによる2023年のレポートによれば、CISOの平均在任期間は18〜26か月です。「過去2年間で、より多くのCISOが職を離れ、戻ってこないのを見てきました。彼らは別の道に進んでいます」とBedrock Securityの最高セキュリティ責任者でIANSのファカルティアドバイザーでもあるGeorge Gerchow氏は語ります。

Gerchow氏自身も、理想的とは言えない報告体制のフラストレーションを直接経験しています。当初は適切な報告先に報告していましたが、組織の変化によってコミュニケーションの経路が崩れました。上司と一対一で話す機会はほとんどなくなり、取締役会も彼にほとんど注意を払わなくなりました。「私たちの間に壁ができたように感じ、チームも苦しみ始めました。そして、チームメンバーが会社を去るのを見るようになりました。引き留めることもあまりできませんでした。おそらく決断が遅すぎましたが、私は見切りをつけました」とGerchow氏は語ります。

現在のBedrock Securityでの役職に就く際、Gerchow氏は取締役会への報告を譲れない条件としました。「契約書には、私はCEOまたは取締役会に報告しなければならないと明記されています」と彼は言います。

取締役会との関係構築

CISO Executive Networkは、1,500人以上のメンバーを持つ情報セキュリティ専門家のピア・ツー・ピア組織です。組織のゼネラルマネージャーであるAndy Land氏は、ほとんどのメンバーが取締役会へのしっかりとしたアクセスを持っているのを見ています。「しかし問題は、そのアクセスを本当に有効活用できているのか、ということです」と彼は問いかけます。

取締役会の前に立つことと、サイバーセキュリティのニーズを効果的に伝え、それを満たしてもらうことは別問題です。それは、Cレベルの同僚との関係構築から始まります。CISOが他の経営幹部に報告している場合でも、そうでない場合でも、同僚の優先事項を理解し、サイバーセキュリティがそれらとどのように連携できるかを知る必要があります。

「CISOの仕事は経営幹部の仕事です。経営幹部としては、同僚との関係に完全に依存しています。経営幹部は孤立して何かを成し遂げることはできません」とBarrack氏は言います。

他の経営幹部と対立するのではなく協力して働くことで、CISOは取締役会の前に立つ時間を最大限に活用できるよう準備できます。

取締役会の注目を集めたら、それを維持しなければなりません。そのためには、CISOの職に就くきっかけとなった技術的な知識よりも、ビジネスリーダーシップに重点を置く必要があります。取締役会のメンバーはそれぞれ異なる専門分野を持っていますが、彼らの関心は主に、そして高いレベルで、会社の財務的成功にあります。CVEや最新のランサムウェアグループの話をしても、取締役会メンバーの関心を引くことはほとんどありません。

「あなたは信頼を失い、それを取り戻すのは非常に難しくなります。なぜなら、ほとんどの取締役会や経営幹部は非常に判断が早いからです」とBarrack氏は言います。「彼らはあなたの能力レベルについて非常に素早く判断します。」

ビジネスのさまざまな側面がどのように機能し、取締役会のメンバーが何に関心を持っているのかを学ぶ時間を費やすCISOは、より受け入れられやすい聴衆を得ることができるでしょう。「もし取締役会が全員営業出身者で構成されているなら、サイバーリスクに関連するパイプライン損失や収益損失、顧客離れについて話せば、彼らの関心を引くことができます」とKathmann氏は語ります。

CISOという役割はまだ比較的新しいものです。サイバーセキュリティへの関心は高まっていますが、取締役会への報告という課題は依然として一般的な不満の種です。自分の同僚や取締役会が自分の職務遂行を後押ししてくれていないと感じるCISOは、コミュニケーション方法や組織での長期的な展望について再評価する時期かもしれません。

「取締役会からその支援が得られないのであれば、新しい機会を探し始める時かもしれません」とCISO Executive Networkの創設者、Bill Sieglein氏は言います。「2つのうちどちらかが起きています。あなたのコミュニケーションが不十分か、彼らがあなたを支援していないかのどちらかです。」