これらの数字の背後にいるのは、予算や権限が伴わないまま際限なく拡大していく職務に不満を抱える経営幹部たちだ。
企業のCISOは、転職に踏み切る意欲――そして熱意――をますます強めており、中にはサイバーセキュリティの世界から完全に離れたいと考えるほど不満を募らせている人もいる。
IANS ResearchとArtico Searchによるセキュリティリーダーを対象とした最近の調査では、報告書によれば、セキュリティ幹部の69%が「今後1年以内のキャリア移動に前向きであり、多くはより大きな企業や別業界でのCISO職を狙うが、CTO、CIO、取締役、あるいはより大きな企業でのセキュリティリーダー職のナンバー2といったCISO以外の役割も含まれる」ことが分かった。
サイバーセキュリティのアナリストやコンサルタントは、この変化を、CISOから見聞きしてきたさまざまな問題に起因するとしている。
「わずかに良い、あるいはより高い肩書きを追い求めているというより、圧倒的な疲弊、組織の不整合、そして多くの組織で現在の形のままではこの仕事は持続可能ではないという感覚の高まりが主因です」と、Info-Tech Research Groupのテクニカル・カウンセラーであるErik Avakianは述べる。
「CISOは常に緊急性に追われる世界に生きています。想定外のインシデント、定期監査、取締役会への報告、サードパーティベンダーの課題、規制上の期限が日々の業務の一部であり、実質的な“逃げ道”はありません」と彼は言う。「同時に、多くのCISOは組織内で、真のビジネスリーダーとしての経営幹部ではなく“セキュリティ担当者”として見られがちです。責任と影響力のギャップは人を消耗させます。特に、その影響力が時間とともに増していかない場合はなおさらです」
こうしたパターンは長年にわたり企業内に根付いており、組織の経営陣が是正するのは難しい課題となっている。
「答えは単に『もっと給料を払う』ことではありません。もちろん報酬は、近年ますます重要になっていますが」とAvakianは言う。「企業レベルのリスクを背負わせておきながら、中堅クラスの役員報酬で動機づけられると期待することはできません。しかし、お金だけでは構造的に壊れた役割は直りません」
解決は、企業セキュリティに責任を負う人に「企業レベルの地位」を与えることから始まる、と彼は述べる。「つまり、CEOと取締役会への直接アクセス、戦略を練る時間、影響力を持つために事業全体で関係を築く余裕があり、ITの階層の下に埋もれたり日々の反応型モードに追われたりしないことです。責任に見合う権限、サイバーセキュリティ予算、アーキテクチャ、サードパーティの態勢、そして全体的なリスク判断に対する実質的な影響力を意味します」
Avakianは、これは典型的な不満を抱えた幹部の話をはるかに超えていると付け加える。
「多くのCISOは、使命への関心を失ったから転職を考えているわけではありません。ほとんどのCISOやセキュリティリーダーは、自分の仕事や他者を助けることに情熱を持っています」と彼は言う。「それでも彼らが去るのは、率い、築き、違いを生み出したいからであり――しかし周囲の構造がそれを不可能にしてしまうことがあまりに多いのです」
組織は、「思想的リーダーシップ、チームリーダーシップ、そして前向きな影響力が実際に発揮できるように役割を作り直す」ことでこれを解決できる、と彼は付け加える。
「システム的な脆弱性」
Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは、この問題は単なる転職を超えていると言う。「私たちはスローモーションの人材流出を目の当たりにしています」と彼は述べる。
「その原動力は報酬でも、専門能力開発の不足でもありません。役割設計の失敗、それに尽きます」と彼は説明する。「企業は、セキュリティリーダーに、十分にコントロールできないリスクに対して過大な責任を負わせ、権限は不十分で、取締役会の支援もまばらで、何かが起きたときに“指名されたスケープゴート”にされる可能性が高いポジションを作り上げてしまいました」
さらに、CISOという役割がもたらす感情的な圧力は継続的に悪化してきた。「それはプロフェッショナリズムに偽装されたトラウマです」と彼は言い、そのダメージはセキュリティ幹部が去った後も長く残ることが多いと付け加える。
「CISOが去ると、その余波はすぐに広がります。高い成果を出していた副官たちが数カ月以内に後を追うことも少なくありません。プロジェクトは凍結され、戦略的なセキュリティプログラムは勢いを失います。組織は暫定的な穴埋めに奔走し、たいていは実効性のある後継計画もないままです」と彼は言う。「これは単なる定着の問題ではありません。システム的な脆弱性です。それなのに、多くの取締役会はそれをそう扱ってきませんでした」
さらに悪いことに、職を離れるCISOは、その役割自体から完全に離れてしまうことが多いとGogiaは指摘する。
「コンサルティングやフラクショナル(非常勤)アドバイザリーへとキャリアを組み替え、最後の防衛線としての制度的な重みを背負わずに分野に関わり続ける人もいます」と彼は言う。「別の人たちは、エンタープライズリスク、監査、規制コンプライアンスといった役割へ横滑りしています。これらは意思決定権と説明責任の整合がより取れている機能です」
CISOの離職の流れを食い止める最善の方法は、CISOが職務を遂行するために必要な権限を与えることだとGogiaは提案する。
「CISOがサードパーティリスクに責任を負うなら、調達における拒否権が必要です。侵害対応に責任を負うなら、リスク例外をどう扱い、どう文書化するかについての権限が必要です」とGogiaは説明する。「ますます多くのCISOが、コンプライアンス、不正、プライバシー、ESGといった広範なポートフォリオを渡されています。しかし、それに見合う人員、予算、政治的後ろ盾はありません。すべてがCISOの問題で、何一つ自分のコントロール下にないなら、合理的な行動は去ることだけです」
単一障害点としてのCISO
セントルイスのUniversity of Health Sciences and PharmacyのCISOであるZach Lewisは、離職を考えているCISOの割合はIANSの調査結果よりさらに高いと考えている。
「間違いなく、あれより高いと思います。今私が知っているCISOは全員が[辞めることに]前向きです。みんな本気で探しています。何か新しいものを求めています」とLewisは言う。ただし、CISOが非公開企業で働くか、上場企業で働くかによって違いがあるとも指摘する。
「SECがCISOの訴追を検討し始めて以来、あの[SECの]発言が彼らを不安にさせています。CISOであり続けたいが、上場企業ではやりたくないのです」とLewisは言う。
サイバーセキュリティ・コンサルタントのBrian Levine(元連邦検察官で、現在はFormerGovのエグゼクティブ・ディレクター)も、上場企業のCISOからの懸念が高まっているのを目にしている。
「侵害の責任が個人に及び、取締役会の支援が形式的に感じられるようになると、CISOは『これは割に合うのか?』と自問し始めます。ますます、その答えは『いいえ』になっています」とLevineは言う。「取締役会が優秀なサイバー人材を引き留めたいなら、CISOをリスクの受け皿として扱うのをやめ、戦略的な推進役として扱い始める必要があります。影響力、予算、法的保護は特典ではありません。前提条件です。この断絶が、最良の人材の一部を組織の外へ追いやっています」
Levineはまた、多くの企業における実効性のあるCISO後継計画の欠如にも問題があると見ている。
「副官の育成パイプラインを作り、人材をローテーションさせる必要があります。今は、あまりに多くのCISOが単一障害点であり、本人たちもそれを分かっています」と彼は言う。
