インハウスCISOからコンサルタントへの転換は自主性と影響力をもたらす一方で、セキュリティリーダーにスキルセットと考え方の両方を見直すことを強いられます。
Nikoloz Kokhreidzeにとって、サイバーセキュリティコンサルティングへの転職は、一連の小さなステップを通じて徐々に訪れました。「異なる業界での経験を積み重ね、ニュースレターを始め、私の意見に興味を持つコミュニティが存在することに気づきました」と彼は説明します。
この決断を確かなものにしたのは、自分の影響力が1つの組織に限定される必要はないという考えでした。「1社の中で同じ問題を何度も解決していました」と彼は述べ、「複数の企業に同時に解決できれば、影響力を広げて、実用的なセキュリティリーダーシップを通じてより多くのビジネス成長を支援できるのです」と続けます。
2025年8月、Kokhreizdeはコンサルティング企業Mandosを立ち上げました。ですが彼はこの転換をロマンティックに見ることには慎重です。「現実的でいることが大切です」と彼は言います。独立起業には時間と忍耐が必要です。自分がどこで最も役立つかを理解する必要があります。そして柔軟に対応する覚悟が必要です。「新しいアイデアが出たときや物事がうまくいかないときに、方向転換する準備ができていなければなりません」と彼は述べています。
Kokhreizdeと同様に、コンサルティング職への転職を検討しているか、すでに転職しているCISOが増えています。その魅力は明白です。より高い柔軟性、より迅速な学習機会、そして経験豊富なセキュリティリーダーへの継続的な需要があります。
これらの専門家の中にはバーチャルCISO(vCISO)として働き、遠隔で企業にアドバイスしている人もいます。また他方では、フラクショナルCISOとして週1~2日組織に関わる人もいます。
「コンサルティングは、自分の働き方について自主性とコントロールを得ながら、レジリエンス、ガバナンス、実践的なセキュリティ実行を改善するための戦略的なアプローチを適用し続けられます」と、ACyberの創業者兼CEOであるAntanas Kedysは語ります。彼は2022年にインハウスCISO職からコンサルティングへシフトしました。成長したく、様々な環境で働きたかったからです。
CISOがコンサルティングに転職する際、その役割は最初は明らかでない方法で変わります。新しい職はいくつかのスキルを磨き、全く新しいスキルを構築すること、そして最も難しいかもしれませんが、コントロールを手放すことを学ぶことを意味します。
「CISOとしてはあなたは命令することができます。しかしコンサルタントとしてあなたができるのは影響を与えることだけです」と、NCC GroupのディレクターでシニアアドバイザーのNigel Gibbonsは語ります。
セキュリティリーダーからコンサルタントへの転換に向けて準備する方法
フルタイム職を離れるずっと前から、KokhreizdeとOther セキュリティリーダーたちは静かに事前計画を試みました。彼らはアイデアを試し、認知度を構築し、昔の人脈に再度つながり、潜在的なクライアントが誰かを把握し始めました。潜在クライアントのリストは長くあるべきです。なぜなら、会話の多くが実際の案件に転換されないからです。
「今のところあなたにコンサルティングを頼む人がいなければ、最初のクライアントを獲得するまで12~18ヶ月かかるかもしれません」とCarlota Sageは言います。彼女は非営利団体でパートタイムのCISO職を務めていましたが、その後vCISO業務へ転職しました。その後、彼女はPocket CISOを設立しました。初期段階のスタートアップと小規模組織にサイバーセキュリティサービスを提供しています。
Kokhreizdeは彼女に同意しています。より滑らかな転換のため、彼はCISOたちがまだ雇用中に最初のクライアントを確保することを勧めています。そうでなければ、勢いを築くのに長い時間がかかります。そしてそれを成功させるというプレッシャーはすぐにパニックに変わる可能性があります。その時点で、セキュリティプロフェッショナルは「すぐに金銭が必要なため、自分たちを過小評価してしまう」かもしれません、と彼は語ります。絶望から設定された料金は、関係に支障をきたすことなく値上げするのが難しいことが多いです。
CISOからコンサルタントに転身した他の人たちも準備を強調しています。例えば、Kedysは適切なGo-to-Market戦略の必要性を強調しています。「誰にアドバイスしたいか(業界、会社規模、成熟度)、どんな問題を解決するのか、そしてなぜあなたがそれに適任なのかを決めてください」と彼は言います。「強いソフトスキルと明確なフォーカスの組み合わせ—誰に、どのように、そしてなぜ—が成功した転換の最良の出発点です。」
Gibbonsは、コンサルティングはCISOの既存の経験から成長すべきだと付け加えます。彼は、その経験を語る価値がある実世界のケーススタディセットとして扱うことを勧めています。決定内容、トレードオフ、何が失敗して何が成功したかを把握します。彼はまた、法務チーム、監査人、規制当局、投資家を含むセキュリティ機能を超えた関係を構築することの重要性を強調しています。「コンサルティングは究極的には技術的ではなく、信頼に基づいた専門職です」と彼は付け加えます。
コンサルティングに活かせるスキル
CISOが大規模組織の中で磨いたスキルの多くは、新しいコンサルティング職に直結します。一方、他のスキルはこれまで以上に重要になります。技術スキルに加えて、実践的なスキルが最も価値があることが多いです。
CISORoleの中で何年も磨かれた優先順位付けの能力は、コンサルティングで特に重要になります。「他の何ものより重要です」とGibbonsは主張します。なぜなら、コンサルティング環境ではリソースはしばしば限定されるからです。コンサルタントは、あらゆることを知ることで報酬を得ているわけではありません。最も重要なことが何か、最初に対処すべきリスクは何か、どの問題は安全に待つことができるかを知ることで報酬を得ています。
危機管理は別の不可欠なスキルです。サイバーセキュリティプロセスと最良の実行についての実践的な知識と相まって、元CISOがコンサルティングに転職する際に実際の利点をもたらします。Kedysはストレス管理を強調しています。圧力下でも落ち着き、焦点を保ち、実行を継続する能力。これはエンタープライズの外でも、内部と同じくらい価値があります。
しかし、誰もが話す移行可能なスキルが1つあるとすれば、それはコミュニケーションです。「セキュリティとコンプライアンスに関するあらゆる知識は、ビジネスオーディエンスに通信できなければ無駄になります」とSageは言います。
Kokhreizdeは同意しています。コントロール、ツール、技術的詳細で主導する代わりに、彼はCTOおよび他のビジネスリーダーが実際に気にかけていることに焦点を当てています。つまり成果です。彼は、セキュリティがどのように収益を保護し、レジリエンスをサポートし、規制当局との信頼を構築するかについて語ります。
CISOがコンサルティングに転職するにつれ、彼らは新しいスキルも必要であることにすぐに気づきます。その中には、彼らがインハウスの役割で意図的に避けてきた可能性のあるものもあります。筆頭はセールスです。「あなたの仕事の80パーセントは実際に自分を売ることです」とKokhreizdeは言います。「あなたはまずビジネスであり、その次にCISOです。」
そしてビジネスであることは時間がかかります。コンサルタントは個人的なブランディング、マーケティング、会計、執筆をやりくりしなければなりません。特に執筆とオンラインでの存在が重要です。うまく行われれば、信頼性を示し、現在および将来のクライアントにCISOがどのように考えるかの感覚を与えるからです。
コンサルタントが演じなければならない複数の役割—配信、セールス、マーケティング、管理の間で切り替える、複数のクライアントをやりくりしながら—は、実際の精神的負担をもたらします。多くの元インハウス幹部にとって、この継続的なコンテキストスイッチに対応することは、構造化された組織から去ることの最も難しい部分の1つです。「自分のコンサルティング会社を運営している場合、コンテキストスイッチは課題になります」とSageは言います。
時間が経つにつれ、多くのコンサルタントは規律が重要であること、そして「いいえ」と言うことが仕事の一部であることを学びます。「あなたのポジショニングを弱める、または信頼できるアドバイザーではなくアウトソーシングされたオペレーターに戻す仕事に「いいえ」と言うことに慣れる必要があります」とGibbonsは言います。
適切な価格設定
多くのCISOは企業内での自分の価値を知っていますが、その価値をコンサルティング価格に変換することは全く別の課題です。従業員として考えることからビジネスとして考えることへのシフトが必要です。
「スキルは製品と変わりません」とKedysは言います。「あなたは正しい製品(この場合、スキル)を見つけて、市場がそれを取り入れる可能性が最も高い方法で包装する必要があるだけです。」
彼が付け加えるのは、その理解は市場分析から生まれるということです。経営幹部がどのように購買し、何を評価し、比較可能なサービスがいくら費用がかかるかを観察することから。
Sageは市場分析という考えに同意していますが、大規模企業から来ており、中堅企業をターゲットにしているCISOは、しばしば期待を見直す必要があると言います。グローバル組織にとって控えめなレートと思えることが、より小さなクライアント、特に初めてアドバイザリサービスを購入している企業にとっては合わないかもしれません。
価格設定について考える際、Kokhreizdeはこの二つの方法をとりました。彼は市場を見て、自分の価値を評価しました。その後、現実的な収入目標を設定し、逆算して、自分が十分にサービスを提供できるクライアントの数を考慮に入れました。結果として得られたのは、量よりも質を重視する価格設定モデルでした。彼が働きたいクライアントがそれに共感するだろうことを知っていたトレードオフです。
「エンタープライズディールを成立させるB2B企業は、プロフェッショナルなセキュリティリーダーシップが単一の€10M+契約をセキュリティレビュー失敗で失うことよりもはるかに費用がかからないことを理解しています」とKokhreizdeは言います。
価格を設定する際の最も一般的な間違いの1つは、コンサルタントがもたらす価値ではなく時間に対して請求することです。キャリアの初期段階で、Gibbonsは日数で自分の仕事に価格を設定していました。彼がクライアントが避けるのを支援した結果ではなく。時間が経つにつれ、彼は取締役会保証、規制対応、事後インシデント回復などの成果ベースのエンゲージメントに移行しました。クライアントは自分たちが何のために支払っているのかをより容易に理解できるようになります。
「クライアントは時間ではなく判断力を購入しています」とGibbonsは言います。
しかし、このアプローチは普遍的ではありません。より多くの伝統的な組織は日数料に固く付着しています。これらの環境では、交渉の転換は、提供される専門知識に関係なく難しいことがあります。
避けるべき潜在的な間違い
経験豊富なコンサルタントに、新参者が傾向にある間違いを聞いてください。そして答えは一貫する傾向があります。最大の間違いはセキュリティスキルに関することはめったにありません。彼らは心構え、お金、そして市場にどのように見えるかを理解することの周りに集中する傾向があります。
「最も難しかったのは、優れたCISOであることはクライアントを保証しないことに気づくことでした」とKokhreizdeは言います。「強力なセールスと適格スキルなしでは、プロフェッショナルな専門知識は何も意味しないことをすぐに学びました。なぜなら、あなたが解決しようとしている問題を持たないか、修正に投資する準備ができていない企業を何ヶ月も追いかけることになるからです。」
Gibbonsは関連する問題を見ています。コンサルタントは外部からインハウスの役割を再現しようとしています。彼らは運用責任を担い、プログラムを実行するか、無期限に埋め込まれています。「これはマージンと信頼性を損なわせます」と彼は言います。
彼が指摘するもう1つの一般的な誤りは、判断と経験ではなくツール、フレームワーク、認定資格で主導することです。「クライアントはポリシーテンプレートのために元CISOを雇いません」と彼は主張しています。「彼らは不完全な情報で難しい決定を下すのを支援してもらうために彼らを雇っています。」
転換する前に注意深く計画したCISOでさえ、多くの場合、コンサルティングの自由には隠れた費用があることを発見します。Sageが言うように、「初めてコンサルティングを行うほとんどのCISOは、単に自分のビジネスを管理することにどれだけの時間と努力がかかるかを過小評価しています。」
