CISOの役割は壊れているのか？

タイラー・ファラーによる最近の記事（CISO行動規範：エゴを捨て、本物のリーダーシップを発揮せよ）を読んで、非常に考えさせられました。

記事の内容や提案されている行動規範のほとんどには同意しますが、CISOの役割や人物像について、さらに掘り下げて分析すべき点がいくつかあると思います。

記事の行動規範はリーダーシップや実行力を正しく重視していますが、結局のところ、それは一朝一夕に身につくものではなく、長期にわたる現場でのマネジメントや実務経験の積み重ねによってのみ形成されるものであり、そこが本質的な問題だと私は考えています。

私が出会うほとんどのCISOは、技術者としての経歴やバックグラウンドを持っています。それ自体は悪いことではありません。CISOという役割がITセキュリティから生まれ、この30年で進化してきた結果に過ぎません。

CISOの役割の進化とその限界

サイバーセキュリティ業界は、この30年の間に横断的な人材育成パイプラインを構築してきませんでした。セキュリティアナリストがセキュリティエンジニアになり、セキュリティエンジニアがCISOになる。私の経験では、上級レベルの人材が外部から入ってくることはほとんどありません。

多くのCISOは、この期間の大半を転職しながら過ごしてきました。25年前に情報セキュリティのカンファレンスに参加し始めた頃、会場にいた多くの人は金融、製薬、石油・ガス業界の出身でした。その後、すべての企業がサイバー脅威の現実に目覚め、当時の同僚たちも他の業界へと移っていきました。

短い在任期間が長期的な失敗を生む

しかし、在任期間は依然として短いままです。毎年いくつもの記事が、CISOの平均在任期間を2～3年程度としていますが、私の現場経験とも一致します。

大企業で2～3年で変革的な成果を上げることは、ほとんどできません。

実際、多くのCISOはこの10年、終わりのないインシデント対応に追われ、どの職場でも長期的なビジョンを構築することができず、ましてやそれを実現することもできませんでした。ある著名なCISOが私に言ったことがあります。「私の最初の100日は、3日目で終わったよ」…

これは、企業レベルでの可視性が高まった今、役割で成功するために求められるマネジメントの巧みさや個人的な威厳、政治的手腕を現実的に身につけられる環境ではありません。

だからこそ、多くのCISOが苦しんでいるのです。確かに一部には「エゴ」の問題もあるでしょう（巨額の報酬をもらえば重要人物だと感じるのも無理はありません）が、それ以上に、この役割自体が多くの人にとって不可能なものとなっており、これが「悪い振る舞い」の原因だと私は考えています。

ある日は取締役会の前で、翌日は規制当局の前で、その次はペンテスターや開発者、サプライヤーの前で…と、誰もが毎日違う相手の前で信頼を得られることなど期待できません。

もうごまかすのはやめる時です。そんな人物像は存在しません。多くのCISOは、ほとんどの時間で「演じて」いるだけです。数年でフラストレーションから辞めていき、実際にはほとんど何も達成できていません。

この状況は、多くの大企業におけるサイバーセキュリティの慢性的な長期的実行失敗によって、さらに悪化しています。

セキュリティリーダーと経営陣の間に生じる有害なダイナミクス

これは必ずしもCISO自身の責任とは限りません。私の経験では、大企業は本質的に縦割りで、政治的かつ縄張り意識が強いものです。サイバーセキュリティの問題は本質的に複雑で部門横断的であり、こうしたダイナミクスと衝突します。企業統治の仕組みが横断的に機能していなければ、時間が経っても変革的なサイバーセキュリティの取り組みは、簡単な成果や見せかけの「クイックウィン」を除いて、ほとんど実現しません。

それにもかかわらず、多くの企業では、経営幹部とセキュリティチームの間に、非常に有害な雰囲気が生まれる可能性があります。

CISOやそのコンサルタントが長年にわたり構築しようとしてきた、経営幹部へのボトムアップ型のコミュニケーションは、単に失敗してきました。

「サイバーセキュリティはビジネスの推進力」「セキュリティ投資のリターン」といったストーリーは、合理的な手段で本質的には非合理的な状況（認知バイアスや根深い企業統治の慣習・機能不全に支配されている状況）に対処しようとしたに過ぎません。

逆の立場から見れば、多くの経営幹部は、何人ものCISOがやってきては数百万ドルを要求し、数年後に半端な状態で去っていくのを見てきたはずです。

それが不信感を生みます。

不信感は、ビジネスリーダーが何かが起こるまで追加投資を渋る原因となり、リソース不足（実際か認識上かを問わず）がCISOのフラストレーションや短い在任期間につながります。これが、サイバーセキュリティを巡る「失敗のスパイラル」の主要な要因の一つです。

役割の分割こそが唯一の前進策である理由

このようなダイナミクスから脱却しようとする企業には、私の考えでは2つのことが必要です。

まず、CISOの役割を分割する必要があります。この役割がうまく機能しているふりを続けるのは無意味です。もはや、惹きつけられる人材にとって複雑すぎるものになってしまいました。

リーダーシップチームレベルで、正式なCSO（最高セキュリティ責任者）役職を設け、サイバーセキュリティガバナンスだけでなく、規制報告、コンプライアンス管理、事業継続など、あらゆるビジネス保護の側面を包括する必要があります。

ここでの課題は、ポートフォリオを十分に広くして、適切なビジネスリーダーを惹きつけ、本物のキャリア機会を提供することです。これらのテーマは複雑かつ深いため、このアプローチと役割を正当化できます。

企業統治の観点からも、これはどの取締役会も支持すべき動きですが、リーダーシップチームにとっても、これらすべての課題に対して一人の責任者を置くことは有益です。

業界や地域によっては、責任や個人の法的責任が関わる場合もありますが、それでもこの課題に取り組む価値はあります。なぜなら、企業経営の中核にビジネス保護の価値を明確に位置づけることができるからです。

そのうえで、CISO本来の役割は、長年にわたり自然発生的に積み重ねられてきたマネジメントやガバナンスの層を取り除き、元々の技術的な職務に戻すことができます。そして、現在のCISO世代が十分に準備できていないこれらの層も外すことができます。

また、役割は実行に強くフォーカスすべきです。ここは、冒頭で触れた行動規範の最後のポイントに強く同意します。

要求ではなく実行によって信頼を取り戻す

CISOはもう不満を言うのをやめ、今あるリソースで物事を成し遂げる時が来ています。

常に追加リソースを要求するのではなく、実行力を示すことで、経営幹部との信頼関係を築き直すことができます。

その結果、特にCSOという役割が企業のトップでビジネス保護の価値を体現し、サイバーセキュリティの取り組みをトップダウンでも横断的にも支援できる場合、信頼がさらなるリソースをもたらすでしょう。

これこそが、サイバーセキュリティを巡る本質的かつ持続的な変革が求められる中、企業が前進するための新しいダイナミクスです。

このことは、フラストレーションを抱えるCISOが仕事にやりがいを感じ、より長く在任できるようになる助けにもなります。

また、現実的な職務記述書を作成できることで、これまで存在しなかったような人物像を求めていた現状よりも、採用にも役立つかもしれません。

持続可能なサイバーセキュリティリーダーシップへの新たな道

企業は、10年や20年前と同じやり方でサイバーセキュリティを続けるわけにはいきません。脅威は常に変化し続けますが、組織はこの数十年のサイバーセキュリティの歩みを振り返り、進歩を妨げてきた障害がどこにあったのかを理解する必要があります。これまでの投資額を考えれば、多くの企業はもっと高いサイバーセキュリティ成熟度に到達しているべきです。

CISOの役割をより良く機能させることも、その一部です。これは重要なステップですが、現状の役割が限界を迎えており、抜本的な進化が必要であることを認めることも含め、あらゆる可能性を検討しなければなりません。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？