セキュリティリーダーのキャリアを台無しにする10の失敗とその回避法

経営幹部をトラブルに巻き込む悪い行動がいくつかあります。

違法または非倫理的な行為は最も明白であり、通常、そのような行為をした幹部は雇用されなくなります。ほとんどのプロフェッショナルは、キャリアを続けたいのであれば、そのような行動を避けるべきだと理解しています。

しかし、昇進を妨げるその他のミスも多くあり、その中には一見分かりにくく、回避が難しいものもあると、経営幹部やキャリアコーチ、エグゼクティブコンサルタントは指摘します。さらに、セキュリティリーダー特有の懸念や行動がキャリアの足かせになることもあります。

以下は、セキュリティリーダーのキャリアを短絡させてしまう10のパフォーマンス上の欠点です。

1. セキュリティをビジネスの優先事項に合わせられない

これは現在のセキュリティリーダーにとって最も重要な要件の一つであり、これができなければ脇役に追いやられてしまいます。

「セキュリティは最終目標からビジネスを支える機能へと進化しました」と、ソフトウェアメーカーBenevityのCISOであるジェームズ・カーダー氏は言います。「つまり、セキュリティ戦略、コミュニケーション、計画、実行はビジネス成果に合わせる必要があります。セキュリティの取り組みが意味のあるROIを生み出していなければ、CISOは何かを間違えている可能性が高いです。セキュリティはコストセンターとして運用すべきではなく、もしそのように行動したり報告したりしているなら、私たちは役割を果たせていません。」

カーダー氏は、まだセキュリティをビジネス戦略に合わせていないCISOは「大きな意識改革」が必要だと述べています。

「まず、役割が変わったことを受け入れることから始めましょう。私たちはもはや門番ではありません。進歩を促進する存在なのです」と彼は言います。

2. 技術者であるだけでビジネスエグゼクティブにもなれていない

セキュリティを企業戦略に合わせるためには、セキュリティの専門家もビジネスリーダーになる必要があると、元ウォルト・ディズニー社およびコストコ・ホールセールのCISOであるライアン・クニスリー氏は述べています。

多くのCISOにとってこれは依然として課題であり、セキュリティ組織内で昇進してきた人が多く、ビジネス部門での経験が不足しているため、リスクと収益を結びつけたり、ビジネスメトリクスを使ってセキュリティの有効性を測定したりするスキルが足りない場合が多いのです。

「その結果、役割が軽視され、間接費と見なされてしまうのです」と、現在Axoniusのチーフプロダクトストラテジストを務めるクニスリー氏は言います。

クニスリー氏は、CISOがビジネススキルを磨くために、サイバーセキュリティ以外の分野でプロフェッショナルメンターを見つけたり、セキュリティ以外の業務経験を積んだりすることを勧めています。

3. 「イエス」で終わらない

CISOは一般的に、セキュリティ部門が「ノーと言う部門」になってはいけないことを理解しています。

しかし、中には「イエス」にまで到達できていない人もおり、それは組織にとっても自分のキャリアにとってもマイナスになると、Transcend社のCISOインレジデンスであり、元UnitedHealth GroupのCISOであるエイミー・カードウェル氏は述べています。

「イエス」に到達するには、CISOが組織のリスク許容度を理解し、セキュリティコントロールとビジネスのスピードや利便性のバランスを適切に取る必要があります。

「キャリアを伸ばしたいCISOは、『イエス、そして安全かつ確実に、よりレジリエントに実現できるようお手伝いします』と言える人たちです」と、NCC Groupのシニアアドバイザー兼セキュリティディレクターであるティム・ローリンズ氏は説明します。

4. レッドラインを引く

ローリンズ氏は最近、ビジネスの同僚から高リスクのアイデアを聞いた際、「それは私にとってレッドラインです」と伝えたCISOと仕事をしました。

ローリンズ氏は、そのような指示を出すことは避けるべきだと助言しています。なぜなら、それはCISOが本当にビジネスのニーズに焦点を当てていないことを示すからです。

「CISOはレッドラインを引いて『絶対にダメ』と言うことはできません。なぜなら、それがビジネスにとって重要であれば、安全かつ確実に実現する方法を考えなければならないからです。そうでなければ、ビジネスはあなたを迂回して進めてしまうでしょう」とローリンズ氏は言います。

5. ルールに固執しすぎる

同様に、ルールに固執しすぎるCISOは、組織や自身のキャリアにとってマイナスだとカードウェル氏は言います。

最近、彼女の組織でこのような状況がありました。チームメンバーの一人が、セキュリティポリシーで禁止されていることを理由に、従業員によるサードパーティアプリの使用を最初は許可しませんでした。

カードウェル氏はスタッフと共に状況を深掘りし、そのアプリが2台のマシンで2か月間だけ使われ、ビジネスイニシアチブに不可欠であることを知りました。

彼らはセキュリティルールの例外を設け、プロジェクト終了時にアプリを確実に削除するためのサービスチケット作成などのコントロールを実装し、ビジネスのために計算されたリスクを取ることにしました。

このような対応は、セキュリティ部門がビジネスの推進役であることを示し、CISOやセキュリティチームが回避すべき障害ではなく、パートナーとして見られることにつながるとカードウェル氏は指摘します。

6. AIへの対応を誤る

人工知能が普及する中、CISOはこの技術を十分に理解し、適切に保護できるようになる必要があります。そうでなければ、AI以前の時代の遺物と見なされてしまいます。

しかし、多くのセキュリティ専門家はいまだにAIを「一般的な技術ツール」として扱い、「地形」として捉えていないと、Tiro SecurityのバーチャルCTO兼CISOであり、ITガバナンスに特化したプロフェッショナル団体ISACAのサイバーセキュリティ専門家であるジェナイ・マリンコビッチ氏は述べています。

「AIは地形修正者です」と彼女は言います。「AIは敵対的な状況、意思決定ループ、さらには組織内の『真実』の性質さえも変えてしまいます。AIを単なる機能として扱い続ける専門家は、環境を見誤り、もはや存在しない脅威クラスへの解決策を提示してしまいます。彼らの論理はリアルタイムで時代遅れになるのです。」

さらに彼女は「明日失敗するキャリアは、怠惰や無能さが原因ではなく、時代遅れの枠組みで動いていることが原因です」と付け加えます。

7. 資産や相互依存関係の可視性が不十分

守るべきものをしっかり把握できていないCISOは、役割を果たすことができません。「可視性がなければ、コントロールの有効性について語ることもできず、リーダーシップからの信頼や信用も失われてしまいます」とクニスリー氏は言います。

しかし、マリンコビッチ氏は、今日の可視性はかつてないほど広範であり、現代の組織に存在する見えない相互依存関係をモデル化できないCISOは、失敗する運命にあると述べています。

「ハイブリッドシステム、バイオロジカル、デジタル、オペレーショナル、地政学的な環境では、最も壊滅的な失敗はモデル化されていない結合点で発生します」と彼女は言います。「技術的または管理的なコントロールロジックが、見えないシステム（規制、文化、経済など）とどう連携しているかを把握できなければ、統治することはできません。スキル不足ではなく、統合的な認識力の不足がキャリアを脆弱にするのです。」

8. 自分だけで完結してしまう

どの分野のプロフェッショナルも、他者の仕事を助けたり、同僚から信頼されるパートナーになったり、組織内で人脈を築いたりすることでキャリアを発展させています。ネットワーキングが得意な人もいれば、職務上コラボレーションが求められる人もいます。

しかし、多くの組織におけるセキュリティ部門は、これらのどちらにも当てはまらないことが多く、人脈づくりは成功するセキュリティプログラムや個人のキャリアアップにとっても重要だと、All-Star Executive Coachingの創設者キンバリー・ラウシュ氏は述べています。

そのため、セキュリティ担当者は自ら積極的に機会を作り出す必要があります。ラウシュ氏は、同僚に自分がつながりを持ちたいことを伝えることを勧めています。連絡を取り、質問をし、他者の成功を認め、学ぶためのミーティングを設定しましょう。「自分の部門を超えて影響力を持ちたいなら、絶対にこれらのことを実行すべきです。」

9. 時間や注意を惜しむ

CISOが多忙を極めているのは間違いありませんが、忙しすぎて相談に来た人に注意を払えなくなることには注意が必要です。

「鋭い返答で誰かを突き放してしまうと、その人は二度とあなたのもとに来なくなります。『CISOとは一緒に仕事をしたくない』と思わせてしまうのです」とカードウェル氏は言います。

そのような場合、人々はセキュリティ部門を避けて行動し、セキュリティ上の懸念や情報を自分だけで抱え込むようになります。

「私が誰かを初めて突き放した時、それがその人が最後に何かを持ち込んでくる時だと知っています。だからこそ、何かを持ってきてくれた人には感謝して受け取ります」とカードウェル氏は付け加えます。

小さな不満や懸念に注意を払うことで、重大なセキュリティ問題が明らかになることもあり、放置すればセキュリティチームやリーダーシップの評価を下げることになりかねません。「だからこそ、誰かが何かを持ってきてくれたら、その内容に好奇心を持つべきです。非常に興味深いことが明らかになるかもしれません。」

10. インシデント対応の失敗

セキュリティインシデントが「起こるかどうか」ではなく「いつ起こるか」であることを認識しているのはCISOだけではなく、他の経営幹部も今やそれを理解しています。

そのため、インシデントが発生しただけでは、もはやキャリアを台無しにする要因にはなりません。

「かつては、インシデントが発生するとCISOにとって大きな汚点でした」とカードウェル氏は言います。「しかし、今ではむしろ逆転していると思います。私は、インシデントを経験したことがないCISOは雇いたくありません。なぜなら、どこかでインシデントを経験し、そこから学び、その経験を持って私の組織に来てくれた方が、レジリエンスに必要なものをよりよく理解しているからです。」

とはいえ、セキュリティインシデントへの対応を誤れば、CISOのキャリアは失速する可能性があります。

「うまく対応できないことがキャリアを台無しにするのです」とローリンズ氏は言います。

CISOは、よく練られたインシデント対応計画を持ち、迅速かつ的確に実行し、被害を最小限に抑え、速やかに復旧に向けて動けるようにしなければなりません。冷静かつ明確にコミュニケーションを取り、状況をコントロールする必要があります。

「たとえその雇用主との関係が終わることになったとしても、CISOが大きなインシデントを経験した場合、在任期間が18か月ほど残ることが多いのは事実です」とローリンズ氏は言います。「しかし、それでキャリアが台無しになる必要はありません。」