CISOは新たな脅威に先回りして対処することで、2026年に新しい基準を打ち立てられる。
新年の始まりは、サイバーセキュリティチームを含め、誰にとっても新たなスタートを意味します。予算と計画が固まった今、CISOとそのチームが戦略を実行に移す時です。しかし、計画が確定したからといって、イノベーションが止まるわけではありません。
2026年、CISOは新たに出現する脅威に対して組織のレジリエンスを保つため、サイバーセキュリティのコンプライアンス基準を超えることに注力すべきです。歴史的に、HIPAA、SOC2、ISO 27001などの基準は、セキュリティ手順と統制の最低ラインを定めてきました。適切に実施すれば、これらは投資の正当性を示すための有用なツールになり得ます。しかし、諸刃の剣でもあります。コンプライアンスのみに依存する企業は、重要で新たに台頭するリスクを見落としかねません。
コンプライアンスのチェックリスト思考は、あるべき場所である2025年に置いていく――CISOがそれを実現する方法を示します。
コンプライアンス基準:必要だが十分ではない
コンプライアンス基準は歴史的に、多くのサイバーセキュリティプログラムの土台として機能してきました。多くの場合、その意図は善良です。PCI-DSSは、重複し一貫性のない統制を実装していた決済事業者のコンソーシアムから生まれ、ネットワーク統合を複雑化させコストを増大させていました。HIPAAのプライバシーおよびセキュリティ規則は、プライバシーへの懸念と電子カルテのデジタル化を受けて発展しました。
これらの基準は、保護を維持するための統制のベースラインを提供します。しかし通常、よく知られた脅威を対象としており、現在のアーキテクチャや脅威の変化に追随できない場合があります。また、解釈が分かれることもあります。たとえば、多くのコンプライアンス基準では、企業のベンダーを能動的に監視する要件が曖昧です。準拠プログラムを運用するCISOは、ベンダーを年1回、または大きなシステム変更後にのみレビューするかもしれません。第三者リスクを把握し続けるためにベンダーを継続的に監視するというベストプラクティスに、コンプライアンス基準は追いついていません。
これは、コンプライアンスプログラムを管理するCISOなら誰もが知る、最も不幸なインセンティブの一つを浮き彫りにします。より厳しい目標を設定して未達のリスクを負うより、緩い基準を設定してそれを上回るほうが簡単であることが多いのです。後者は監査指摘につながり、ときに政治的な反感も招きます。では前者は何につながるのでしょうか。
それは慢心と、セキュリティプログラムの体系的なリソース不足につながります。良し悪しは別として、2025年のHitch Partnersの調査によれば、CISOは予算ニーズの78%をコンプライアンスを用いて正当化しているとのことです。この数字は基盤であり、より規範的なコンプライアンス基準がある高度に規制された業界では、さらに高い可能性もあります。しかし、この約80%をプログラムの必要事項の100%と解釈してしまうと、将来を見据えたセキュリティプログラムの運用に必要な水準に届きません。
ここで、CISOとしてあなたがセキュリティチームのミッションにとって最も重要になります。そして幸いなことに、多くのコンプライアンス基準には、あなたが有利に使えるいくつかのレバーが用意されています。
CISOの新たな北極星:新興リスクを織り込む
コンプライアンス基準に過度に合わせ込むだけではもはや不十分であることは確認しましたが、それでもコンプライアンスを味方につけることはできます。
多くのコンプライアンスプログラムは情報セキュリティのリスクアセスメントを義務付けており、大企業であれば専任のエンタープライズ・リスク・マネジメント機能がすでにあるかもしれません。CISOとして、情報セキュリティのリスクアセスメントのスコープ、手法、そしておそらく最も重要な時間軸に影響を与えられます。検討すべき3つの主要戦略は次のとおりです。
時間軸を延ばす
理想的には、3〜5年先までのシナリオを検討し、先手を打てるようにしたいところです。AIによる脅威の進化、脆弱な第三者ベンダーに起因する侵害の増加、そして10年以内に量子コンピューティングによる「今収集して後で復号(harvest-now-decrypt-later)」の脅威が現実化するリスクが、すでに見え始めています。これらのリスクシナリオに対する統制は一夜にして有効化できるものではないため、これらやその他の新興リスクに備えることが最重要です。
可能な限りリスク/シナリオベースの手法を用いる
あなたが防ごうとしている状況は何でしょうか。資産や統制に基づくコンプライアンスは、チェックボックスという呼び名の由来です。セキュリティプログラムの立ち上げ段階では、適切なカバレッジを確保するために重要かもしれませんが、前述の80%思考に直面することになります。 \
シナリオでは、より広い視点でリスクを捉え、関連する統制をマッピングします。カスタムのリスクシナリオを定義することもでき、既存のコンプライアンス運用を超える要件を正式に導入できます。また、統制文や標準シナリオにあるものより、より具体的にすることも可能です。
損失を定量化する
コンプライアンス主導のリスクアセスメントで最もよくある欠点の一つは、発生可能性と影響度に関する単純すぎる計算です。上記の新興リスクの多くは、発生可能性は低い一方で影響は極めて大きく、時間軸にも相当の不確実性があります。この単純な計算では、こうしたテールリスクは自然には浮上しにくく、低頻度×影響度スコアの塊の中から意図的に引き上げる必要があります。影響を金額で定義すれば、雑音を断ち切れます。従来の意味では25万ドルと1,800万ドルのどちらも影響度「5」になり得ますが、どちらがより重大かは明らかです。
実務上、プログラムが新しい場合は難しいこともあり、またセキュリティ組織の地位やリスク文化にも大きく依存します。ただ、たとえこれらの論点について議論を始めることに成功するだけでも、認知を高め、将来の投資に向けた土台を築いているのだと覚えておいてください。
取締役会の賛同を得る方法
CISOのサイバーセキュリティ計画を承認する財務リーダーは、リスクの領域で意思決定をしています。彼らは毎日、事業にとって何が報われるかについて計算された賭けを行っています。取締役会は、あなたがどのコンプライアンス基準を織り込めていないのか、そしてその発生可能性と影響を財務的な観点で知りたがるでしょう。
CISOは、コンプライアンスのチェック項目をすべて満たすクリーンな監査結果は見込み顧客に示すには十分安全かもしれないが、そこに安住すると「十分に良い」という基準を固定化し、さらに2〜3年はコンプライアンス基準の一部にならないかもしれないリスクを考慮できない、と説明できます。取締役会にとっては追加要素に聞こえるかもしれませんが、リスクの定量化、競合との比較、コスト最適な統制の算定は重要です。たとえば、啓発キャンペーン、承認プロセス、またはトレーニングモジュールは、生成AIセキュリティに関する追加ソフトウェアやポイントソリューションを導入するより安価で、リスクを許容水準まで下げられるかもしれません。
これらの重点領域を念頭に置かないまま予算がすでに承認されているなら、今こそリスクファーストのアプローチを取締役会との議論に織り込み始める時です。計画を提示する予算シーズンだけでなく、年間を通じて話すべきです。そうすることで、セキュリティをコストセンターではなく、収益の保護、資本効率の向上、資金管理の健全性の維持、コスト最適化の手段として位置付けられます。
年初は、CISOが組織のサイバーセキュリティリスクに対する考え方を転換し始めるのに最適なタイミングです。コンプライアンス基準を超え、新興脅威に対してレジリエントになることに焦点を当てたリスクファーストのアプローチを取りましょう。
この記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加したいですか?
