CISOの椅子は回転ドアになっているのか？

Cybersecurity VenturesのCISO Workforce and Headcount 2023 Reportによると、CISOの在任期間は平均18～26か月であり、他のC-suite役員のほぼ5年と比べてはるかに短いです。リスクが非常に高く、たった一度のミスがキャリアを左右するこの職業において、CISOはかつてないほど早く辞めているのか、そしてその理由は何なのかという重要な疑問が浮かび上がります。

3年目の壁との戦い

サイバーセキュリティ人材紹介会社Icebergsの共同創業者であるトム・チャップマンは、CISOのキャリアパスを俯瞰しています。彼が担当した候補者のデータによると、現在CISOの平均在任期間は約3年だと言います。

チャップマンによれば、これは業界によって異なります。たとえば、スタートアップのCISOは複数の役割を兼任し、セキュリティ以外も担当することが多いため、在任期間は18か月から2年とより短くなる傾向があります。

理由はさまざまですが、バーンアウト（燃え尽き症候群）が共通の要因であることが多いと彼は言います。「スタートアップ業界は非常にスピードが速い」とチャップマンは語ります。「CISOが活用できる既存のシステムがほとんどないことも多く、ゼロから構築しなければならず、しかも予算も潤沢ではありません。スタートアップは『一人雇えば全部できるだろう、それでセキュリティも万全だ』と考えがちですが、実際はそうではありません。」

一方、世界中に数千人の従業員を抱え、予算やリソースも豊富な大企業のCISOは、より長く在任する傾向があります。

「CISOは計画を持って組織に入り、2～3年かけて変革を実施し、人材を採用し、新しいチームを立ち上げ、組織内のセキュリティ体制を本格的に構築します」とチャップマンは言います。「しかし3年目になると…日常業務（BAU）の段階に入り、刺激がなくなってきます。やりたかったことを達成したので、次は別の組織でまた同じことをやりたいと考えるようになるのです。」

グローバルな投資銀行や小売業、Eコマース企業など最大規模の組織では、CISOの在任期間はさらに長くなることもあります。「そうした大企業のCISOは、2～3百人規模のチームを率いています。やることも責任も多いので、長く在任する傾向があります」とチャップマンは語ります。

そのストレスは犠牲に見合うのか？

FullpathのCISOであるシャハル・ガイガー・マオールを含む他のCISOにとっては、問題は退屈さではなく、絶え間ない緊張感にあります。「いつでも侵害が起きる可能性があります。何かが必ずうまくいかなくなるという前提で生きており、それは非常にストレスが大きいです」と彼は言います。

ガイガー・マオールはまた、この仕事は本質的に対立的だとも述べ、CISOが直面する技術的リスクだけでなく、求められるソフトスキルや社内政治も大きな負担になると指摘しています。

「CISOは多くの部門と関わり、ソフトスキルやコミュニケーション能力が求められます。多くの場合、他の人に行動を促す必要があり、それが非常に骨の折れる作業です。長期間続けるのはとても難しい」とガイガー・マオールは言います。「多くの場合、会社の目標と自分の目標が直接対立します。まるでサケが川を遡上するように、他のみんなと逆方向に進んでいるようなものです。これが長期在任を難しくしています。」

休暇中ですら気が休まりません。ガイガー・マオールは、休暇中でもノートパソコンを持ち歩き、会社のSlackチャンネルから決して離れないと言います。「それが私にとっては当たり前です」と彼は語ります。「休暇に行っても本当に切り離されることはできません。常に自分の一部は仕事に戻っている必要があります。何か問題が起きるかもしれないからです。大変ですが、それも役割の一部です。」

責任リスクと報酬のバランス

Autodeskのセキュリティ＆トラスト、M&A部門のシニアマネージャーであり、Wells FargoやCiscoでクラウドガバナンスリーダーを務めたロナ・スピーゲルによれば、常にリスクと非難にさらされることも、CISOがこの役割を最初からためらう理由の一つです。

「悪意ある攻撃者は、特に今はAIや自動化でますます巧妙になっています。彼らは一度成功すればいいですが、CISOは毎日一日中正しくなければなりません。CISOが一度でも間違えれば非難されます…CISOは収益を生み出すわけではないので、常にコストセンターと見なされ、何か問題が起きれば…すべての責任はCISOに向かいます」とスピーゲルは言います。

スピーゲルは、これはCISOが長年認識してきた残存リスクであり、最近になってその是非を問うようになってきたことが、最終的に在任期間に影響を与えていると指摘します。BlackFogの調査によると、CISOの70%が、CISOがサイバーセキュリティインシデントで個人的責任を問われるという話を聞いて、この役割への見方が否定的になったと答えています。

「私たちがサイバーセキュリティでやっているのはリスク管理です。CISOは取締役会や監査委員会、経営陣にインシデント発生の可能性と影響を伝え、リスクを軽減するための対策を提案します」と彼女は言います。「そしてCISOは、残存リスクを受け入れられるかどうかを判断しなければなりません。なぜなら、最終的にはCISOがどれだけ助言しても、インシデントが起きたときにはすべて忘れ去られてしまうからです。もちろんそれは意図的ではありませんが。」

驚くことではありませんが、チャップマンが指摘するように、CISOは自分の給与がリスクの高い立場に見合っているかどうかも考慮しています。「特にロンドンではCISOの給与は良いですが、米国と比べるとそうでもありません。そして、果たしてそれだけの価値があるのかと考えるわけです。それは個人のリスク許容度やモチベーション次第です」と彼は言います。

CISOという肩書きだけの問題ではない

ただし、CISOを辞める人が皆、疲れ果てているわけではありません。多くの場合、それは適性やモチベーション、キャリアの方向性の問題です。「私は一つの場所でCISOを長く続けるべきではないと思います。そうすると鈍くなり、本能も鋭くなくなります」とガイガー・マオールは言います。「絶え間ない脅威の下でリーダーシップを取ることで、より鋭くなれるのです。」

彼はまた、CISOが関連分野に転身するケースも見ています。「キャリアチェンジとして、セキュリティベンダーに入り営業職や管理職に就くこともあります。他の人は段階的により大きなCISOの役割に成長していきます。しかし、もう十分だと感じている同僚もいます。彼らは収入が減っても、より充実した生活を選びたいのです。」

チャップマンはまた、フラクショナルCISO（パートタイムでフレームワークの構築や特定プロジェクトの監督を担うCISO）の増加も見ています。「結局は個人次第です」と彼は言います。「トップの座に就き、取締役会と話し、リスクを伝えたい人もいますが、『必ずしもCISOである必要はない』という人も増えています。」

スピーゲルは、タイミングを見極めて動くことが秘訣だと付け加えます。「自分に合わない場所だと思ったら、そこから抜け出す必要があります。結局はフィット感の問題です。」

進化するCISOの役割

CISOがその役割で成功するか、燃え尽きるかを左右する決定的な要素として、コミュニケーション能力が挙げられます。「クライアントから一番多く聞く要件はコミュニケーション能力です」とチャップマンは言います。「この人は取締役会や他の経営陣、ビジネス全体のチームとコミュニケーションできるか？コミュニケーションはおそらく最も重視される資質です。」

同時に、スピーゲルはインシデントの経験が価値になると主張します。「率直に言って、侵害を経験することは一種の勲章であり、多くを学べます。全く問題のなかったCISOを採用する場合、その人が本当に経験豊富なのかどうかは分かりません。実際のインシデントに対応したことがなければ、価値が低いわけではありませんが、対応方法を知っているという点では価値が高いとも言えません。」

回転ドアのような印象があるものの、スピーゲルはこの職業がまだ成熟しつつあると考えています。「この分野で働く人々は非常に協力的で、競争意識は比較的低いです。皆がCISOや他の人の成功を本当に願っています。業界、企業、顧客が何に同意し、安心して任せられるかを明確にするために、安定性と標準化を実現したいと考えています。」

では、CISOの在任期間は短くなっているのでしょうか？答えはイエスでもありノーでもあります。全体的にCISOは絶え間ない責任、リスクへの曝露、そしてどれだけ準備しても非難から完全に守ることはできないという感覚に直面しています。それが辞める理由になる人もいれば、次の挑戦への原動力となる人もいるのです。