セキュリティリーダーの責務は急速に拡大し、もはや単一の経営幹部が対応できる範囲を超えている。専門家らは、サイバーセキュリティとリスク戦略の取締役会レベルでの再評価が必須だと主張している。
最近のレポートによると、企業のセキュリティリーダーの大多数が、自分たちの職務が「もはや十分に管理できない状態にある」と見ている。セキュリティコンサルタント業界でも、サイバーセキュリティ経営者の職務範囲が過度に拡大していることが、容易には解決しない問題であることを認めている。
問題の根底にあるのは、企業がCISOの権限と責務を継続的に拡大してきたにもかかわらず、それを実現するための新たなリソースを提供していないという事実である。
「CISO職務の責任範囲が継続的に新たな機能領域および企業全体の責務に拡大しているため、半数以上(52%)のCISOが自分たちの責務範囲はもはや十分に管理できない状態にあると報告している」と、IANS ResearchとArtico Searchが発表した2026年CISOの現状ベンチマークレポートでは述べられている。「CISOは責務範囲とリソースのアンバランスが戦略的優先事項の遅延、長期的なレジリエンスの低下、および質が低下するリアクティブセキュリティ運用など、広範な影響をもたらす可能性があると警告している。」
セキュリティ運用、セキュリティエンジニアリング、GRC、アプリケーションセキュリティなどの従来の情報セキュリティ責務に加えて、多くのCISOはリスク・コンプライアンス、サードパーティリスク管理、ディザスタリカバリー、製品セキュリティなどのビジネスリスク機能も監督している。「その他に、662人のCISO調査では、ITコンプライアンス、IT運用、ネットワーキングなど、ITスタックの一部を管理する責務を負っているCISOがほぼ30%いることが分かった」と述べられている。
サイバーセキュリティコンサルタントで、元連邦検事であり、FormerGovの常務理事を務めるブライアン・レヴァイン氏は、CISOがサイバーセキュリティに関連するすべてのことで他に誰も望まないような責務を処理することは期待できないと述べている。
「企業のCISOは単に過労状態にあるだけでなく、制約された状況に置かれている。役職は昇進し続けているが、影響力は必ずしも伴わない」とレヴァイン氏は述べている。「現代のCISOはもはやセキュリティプログラムを単に運営しているだけではない。彼らは地政学的、規制的、および企業全体のリスクポートフォリオを運営している。責務範囲は非常に速く急増したため、その職務は合理的に一人の人間が所有できる範囲を超えてしまっている。」
その結果、CISOはますます不可能な立場に置かれ、多くの組織にとって単一障害点となりつつある。
「アイデンティティからAIガバナンス、サードパーティリスクまで、すべてのことに一人の経営幹部が責任を持つ場合、それはもはや職務ではなく、実現不可能な期待になってしまう。それが企業全体で見ている状況だ」とレヴァイン氏は述べている。
そして、これらの実現不可能な期待は、わずかなリソース追加の中で実現されるようになっている。Nametag社のCEOであるアーロン・ペインター氏は指摘している。
「責務範囲は権限、予算、または組織的な足並みよりも速く拡大している」と氏は述べている。「CISOは現在、クラウド、アイデンティティ、インサイダーリスク、サードパーティ、AI駆動型の脅威、ディープフェイクなど、多くの場合、5年前と同じチームとツールを使用してカバーすることが期待されている。」
所有権と影響力の問題
問題は、「CISOは新興脅威の万能薬として機能する可能性がある」という認識の増加である、とレヴァイン氏は指摘している。
CISOと組織の両者にとってこの状況を改善するには、セキュリティとリスクリーダーシップがどのように構造化されるべきかを再考する必要があるだろう、と氏は述べている。
「解決策は超人的なCISOを見つけることではない。その職務を再設計し、責務を分散し、責任に見合った権限を与えることだ」とレヴァイン氏は助言している。「管理不可能な部分は、その業務ではなく、責務と影響力のアンバランスである。取締役会がこの方程式を再構築するまで、CISOは失敗するように設定されていると感じ続けるだろう。」
フォーチュン500企業の製造会社のCISO職にある人物は、名前と企業が記載されないことを希望し、CISOになる前の自分の職務範囲ははるかに管理しやすかったと述べている。
現在、CISOとして、同氏は「安全な領域がない。運用側を管理していた時は、すべての状況を把握でき、自信があり、コントロール下にあると感じていた。今日、以前のような自信を持ってすべてが起こっていることを知らない。上司や取締役会に話すときに、脆弱だと感じたり、無防備に感じたりする。対立する多くのことに焦点を当てる必要がある。すべてのことで専門家になることはできない。」と述べている。
Info-Tech Research Groupの技術顧問であるエリック・アヴァキアン氏は、多くの業界でこのスープからナッツまでのCISO権限が使用されているのを見ている。
「CISO職はひっそりと管理不可能になりつつある」と氏は述べている。「職務の本質そのものが変わった。現代のCISOは、テクノロジスト、リスク経営幹部、コンプライアンス当局、ビジネス戦略家、危機管理者、インシデント時の対外発言人、そして事実上のサードパーティサポートの所有者であることが期待されている。そして、ますます複雑になり急速に変化するサイバーセキュリティリスク環境の中ですべてのことを行わなければならない。」
アヴァキアン氏は次のように付け加えている。「取締役会と経営幹部は、CISOが実際に所有するもの対比、影響を与えるものについて決定する必要がある。企業全体のサイバーセキュリティリスクについて誰かに責任を持たせ、同時に個別のファイアウォールルール、フィッシングクリック、およびサードパーティベンダーの問題のすべてについて責任を持たせることはできない。」
彼は、サイバー戦略の取締役会レベルでの再検討も不可欠だと述べている。
「戦略と運用は意図的に階層化される必要がある。CISOは構造的にリスク経営幹部として扱われなければならない」とアヴァキアン氏は述べている。「それは、CEOと取締役会へのアクセス、ビジネス可視性とアクセス、および責任と比例した権限と、サイバーリスクを財務リスクまたは法的リスクのように扱い、ビジネス全体での共有所有権を持つガバナンスモデルを意味する。」
構造的変更が必要
LexisNexis Risk Solutions GroupのCISOであるフラビオ・ビラヌエストレ氏は、多くの組織がすでに、高まるサイバーセキュリティおよびリスク機能の重要性と専門化に対応するために必要な構造的変更を行っていると述べている。
「過去20年間で、情報セキュリティおよびサイバーセキュリティの幅広さと深さが非常に大きく増加したため、その結果として多くの専門化が生まれた。すなわち、SOC、ブルーチームとレッドチーム、アプリケーションセキュリティ、クラウドおよびインフラストラクチャセキュリティ、GRC、コントロール監視、セキュリティアーキテクチャ、アイデンティティおよびアクセス管理、およびその他多くの分野である」とビラヌエストレ氏は述べている。
「一人の人物がコーポレートのすべてのサイバーセキュリティニーズをカバーするために必要な知識を持つことができる時代は過ぎ去った」と氏は付け加えている。「現在のCISOは、より高いセキュリティおよびプライバシー側面に焦点を当てた、CIOに更に近い立場にあり、数十人から数百人に至る組織を管理し、さらに残りの企業をリーダーシップと影響力で牽引している。」
しかし、CISOに追加の責務を継続的に課す組織は、その職務を実行不可能にするリスクがあると、Greyhound Researchのチーフアナリストであるサンチット・ヴィル・ゴギア氏は述べている。
「CISO職は認知的、運用的、および戦略的な限界点まで押し進められている」と氏は述べている。「これはパフォーマンスギャップや能力不足の問題ではない。これは多くの領域に拡がり、もはや一人の人間の帯域幅に収まらない職務についての問題である。少なくとも、効果的、信頼性、および精神的に健全である状態を保ちたい人物の場合にはそうである。」
ゴギア氏は、たった過去5年間で、CISOが「ビジネス継続性、データプライバシー、ESGレポーティング、サプライチェーン完全性、AIガバナンス、物理セキュリティ、詐欺、および場合によっては不動産監督まで」を引き受けていると述べている。
「一部の組織では、CISOはリスク定量化をリードし、経営幹部危機シミュレーションに参加し、法律および規制コンプライアンスの要素を監督することも期待されている」と氏は述べている。「それは責務範囲の拡大ではない。それは組織的なゴミ捨て場である。」
ゴギア氏は、一般的な企業CISOの1日は、経営幹部が職務の基本的な側面である企業防衛の進歩を真に実行することを妨げるタスクで溢れていることを示唆している。
現在のCISO「は朝に脆弱性をエンジニアリングチームに伝え、正午に取締役会レベルのビジネスリスクブリーフィングを準備し、夜間にクラウドプロバイダの紛争を解決する必要がある。それはリーダーシップではない。それは毎日のループでの知的トリアージである。その結果は何か?優先事項がぼやける。ロードマップが停滞する。バーンアウトは劇的な崩壊を通じてではなく、継続的な侵蝕を通じて忍び込む」とゴギア氏は述べている。
「複数の組織でこれが起きるのを見てきた。セキュリティ変革プログラムは四半期ごとに遅延するが、それはCISOが能力不足であるためではなく、その1日が監査準備、コンプライアンス追跡調査、ステークホルダーブリーフィング、およびベンダーエスカレーションで消費されているためである」と氏は述べている。
ゴギア氏はCISOに対して、CISOが実行するよう求められているすべてのことについて、シニアマネジメントと一緒に批判的に検討することを助言している。
「本当に適切なものは何か?利便性から取り付けられたものは何か?独自のリーダーシップ機能が必要なものは何か?多くの場合、プライバシー、物理セキュリティ、およびESGリスクは個別の所有権の価値がある」とゴギア氏は述べている。「CISOはサイバーリスクのアーキテクトでありなさい。関連のすべての責務を捨てる場所ではなく。」
