CISOの報告体制を再検討する時が来た

C級幹部層への浸透と全体的なビジネスでの重要性の高まりにもかかわらず、セキュリティリーダーは報告体制に関しては、組織の経営陣から離れた位置で活動する傾向がまだ強い。

IANSリサーチとArtico Searchの2026年CISO現状ベンチマークレポートによると、CISOの64%はまだITに報告しており、通常はCIOまたはCTOです。わずか11%がCEOに報告し、その他はCFO（5%）、最高リスク責任者（5%）、法務顧問（5%）、またはその他のビジネス部門（5%）に属しています。

調査では「報告ラインは徐々に変わっており、点線上の責任は直接報告と同じか、それ以上に重要なことが多い」ことが判明しましたが、従来の報告ラインはまだ保持されており、疑問が生じます：その報告体制はまだ意味があるのか？

CISOがCIOに報告する場合の古くからの問題は、利益相反を引き起こす可能性がある、または少なくともそう見える可能性があるということです。

元連邦検察官でFormerGovの副会長を務めるサイバーセキュリティコンサルタントのブライアン・レバイン氏は、その懸念は今日さらに正当化されていると述べています。

「これはレガシーモデルです。セキュリティをエンタープライズ全体のリスク学問ではなく、技術機能として扱うものです」と彼は言います。「問題は、CISOがCIOの下にいるとき、コスト削減がリスク削減よりも優先される可能性があることです。」

利益相反

レバイン氏は、CIOに報告することが「本質的な利益相反」を生み出すことに同意しています。

「CIOは効率と節約で報酬を得、CISOはしばしば新たな支出が必要なリスク特定に責任を負っています」と彼は説明します。「これは、消防署長にスプリンクラーの数を減らすことが報酬に依存している人に報告するよう求めるのと同じです。」

エンタープライズCISOはもう一段階上に報告すべきだと、レバイン氏は主張しています。

「理想的には、CISOはCEOまたは法務顧問に報告すべきです。これはエンタープライズリスクに明確に責任を負う高いレベルの役割です。セキュリティは本質的にコスト削減機能ではなく、リスクとガバナンス機能です」とレバイン氏は指摘しています。「CISOが独立性を持ち、最上位への直線的なラインを持つとき、組織はより安い決定だけでなく、リスクについてより明確な決定を下します。」

セントルイスの健康科学薬学大学のCISOであるザック・ルイス氏は、ITに報告する場合に利益相反が生じることに同意しています。

「CIOはシステムの可用性に関するすべてのことであり、一方CISOはシステムをダウンして、パッチを適用し、修正する必要があります」とルイス氏は言います。仮想のCIOが「私のボーナスに影響するので、パッチまたはセキュリティアップグレードを実行してほしくない」とCISOに言う可能性があることを述べています。

LexisNexisリスクソリューショングループのCISOであるフラビオ・ビラヌストレ氏は、リソースが別の利益相反であると考えています。

「多くの組織では、IT幹部は新しい機能を提供するよう強く動機付けられており、セキュリティとプライバシーがこれらのプロジェクトに組み込まれることを保証しようとするときに、CISOが利用できるリソースを圧迫する可能性があります」とビラヌストレ氏は言います。

同時に、CISOが法務顧問またはCFOなどの人に報告することは「CISOとITの間の整合性に悪影響を及ぼす可能性があり、これはCISOの仕事をより効果的にするために最も重要です」とビラヌストレ氏は付け加えます。「これらのタイプの動きを強制することは裏目に出る可能性があります。」

特に金融サービスで規制圧力が増加する中、ビラヌストレ氏はCISO報告体制がより厳しい精査の対象になると信じています。「CISOの報告ラインの現在の統計をかなり大きく変える可能性のある変更がすぐに起こる可能性が高いです」と彼は言います。

報告ラインで重要なこと

セキュリティベンダーNametagのCEOであるアーロン・ペインター氏は、報告体制がCISOに与えられる尊敬よりもしばしば少ないことを主張しています。

ペインター氏は「CISOがどこに報告するかについてより教条的ではなく、実際にテーブルに座っているかどうかに焦点を当てている」と彼は言います。

「組織図は影響よりもはるかに重要ではありません」と彼は付け加えています。「CISOがCIO、CEO、または他の誰かに報告するかどうかに関わらず、実際の質問はこれです：彼らは早期に参加させられ、聞かれ、ビジネスの運営方法を形作る権限を与えられていますか？それが真実の場合、構造は機能します。そうでない場合、報告ラインは救うことができません。」

Greyhound Researchの主任アナリストであるサンチット・ヴィール・ゴージア氏は、CISOがIT幹部に報告するトレンドが「エンタープライズセキュリティガバナンスにまだ根付いている最も構造的に有害なレガシー習慣の1つです」と主張しています。

「書面上では、クリーンなアライメントに見えるかもしれません」と彼は言います。「実際には、CISOが真実を明らかにし、リスクをエスカレーションし、組織に責任を持たせる能力を静かに蝕むガバナンスのアンチパターンです。セキュリティをITの下に保つことは便利に見えるかもしれませんが、今日の脅威の風景では、それは伝統に偽装した構造的な脆弱性です。」

他のように、ゴージア氏の議論は利益相反の可能性に戻ります。

「CIOの仕事はテクノロジーを通じてビジネスを実現することです。イノベーション、配信、スピード。CISOの仕事はリスクを特定および軽減することであり、たとえそれが物事を遅くしてもです」とゴージア氏は言います。「CISOがCIOに報告するとき、リスクはフィルタリングされ、優先順位が付けられ、見えなくなり、または配信ナラティブに適合するように形を変えることができます。これは悪質な行為者についてではありません。これは役割の緊張についてです。そして、その緊張が同じ報告ラインの中に存在するとき、リスクは負けます。」

さらに、ゴージア氏はセキュリティがITに報告することは「すべての間違った文化的シグナルを送ります」と信じています。

「従業員は権力がどこにあるかを知っています。CISOがCFOの3レベル下にいる場合、誰も彼らのエスカレーションを真剣に受け止めません。CISOが重要なコントロール・ギャップにフラグを立てるために上司の許可を求める必要がある場合、それは権限ではなく、封じ込めです。時間の経過とともに、組織はセキュリティをCIOを通さずにCISOの周りにルーティングすることを学びます」と彼は言います。「最も重要なことはフィルタリングされていない可視性と、キャリアペナルティなしに不快な真実を提示する自由です。」

ゴージア氏はサイバーセキュリティのためのより良い報告体制に賛成して主張しています。

「最高デジタルリスク責任者（CDRO）モデルの出現が見られており、これは役割全体を再構成しています。テクノロジストがインフラストラクチャに報告するのではなく、CDROはサイバー、データ、AI、およびサードパーティーの暴露全体にわたるデジタルリスクに責任を持つシニアエグゼクティブです」とゴージア氏は言います。「この役割は、下ではなく、CROとCFOの横に座ることが多い。これはデジタルリスクがITのサブセットではないという現実を反映しています。それはそれ自体で取締役会レベルのカテゴリーです。」