AI時代により、CISOがビジネス全体の主要なリスク管理プレイヤーとして機能する必要性が加速しています。どのようにレベルアップするかについて説明します。
Nitin Rainaのキャリア経歴は多くのCISOのそれと似ています。彼はIT基盤、運用、サービス分野で働いてからセキュリティに転身し、昇進しました。現在、テクノロジーコンサルティング企業Thoughtworksのグローバル最高情報セキュリティ責任者です。
しかし、より珍しい職業上の転身として、Rainaはグローバルエンタープライズリスク責任者の職務も担当するようになりました。彼は2020年以来Thoughtworksでこの職を保有しています。彼によれば、彼はこの職を「リスク全体」について話す能力と傾向があったために獲得したとのことです。
この職務に就いた後、Rainaはエンタープライズリスク管理機能を確立し、現在これを監督しています。この機能は組織全体の戦略的、運用上、サイバーセキュリティのリスクを特定・軽減し、重要なビジネスプロセス、システム、制御の脆弱性と非効率性を明らかにするための詳細なリスク評価とギャップ分析を実施しています。
Rainaは、エンタープライズリスクの責任者を務めることはCISOとしての自分に自然に合致していると述べており、この2つの役割はより頻繁に組み合わせるべきだと考えています。
「リスクについての会話は、CISOとして、私たちが主導することができます。私たちはそれを提起できる能力とフォーラムを持っています」とRainaは述べています。
Rainaのようにリスクのタイトルを保有するCISOはほとんどいませんが、研究者、経営顧問、および他のセキュリティリーダーはCISOがますますより多くのエンタープライズリスク管理タスクを引き受けていると述べています。
これは論理的な拡張であると、これらの専門家は述べています。CISOは、サイバーリスクがどのようにビジネスリスクをもたらすかを特定し、どのリスクが企業にとって最大のリスクを表しているのかを理解し、それらのいずれかが組織のリスク許容度を超えているかどうか、そしてもし超えているとすればどの程度かを理解するようにずっと指導されてきました。
そのCISO業務は今までになく重要であると、彼らはさらに主張しています。ほぼすべてのビジネス運用がデジタル化されています。この事実により、あらゆるサイバーリスクがビジネスへの実質的なリスクになり、レジリエンスが今日の運用上の必須要件になっています。したがって、CISOはビジネスリスクを評価・管理する主要なプレイヤーであるべきです。
「CISOは過去、ITとサイバーセキュリティリスクに焦点を当てていました。『プラットフォーム、アプリケーション、システム、テックスタックのリスクは何か』と聞いていました。それは非常に平らな平面でした」と、グローバル企業情報・サイバーセキュリティコンサルタント企業S-RMのグローバルマネージドサービスリードおよびアメリカ地域サイバーセキュリティ責任者のPaul Caronは述べています。「しかし、ここ数年で進化し、現在CISOは新しい領域に引き込まれています。『ビジネスへのリスクは何か』と聞かれています。」
CISOがリスク領域をリードしている
データプラットフォーム企業SplunkからのリポートCalledである2026 CISO Reportでは、78%のCISOがセキュリティ運用ビジネスリスクについて他のテクニカルCスイートリーダー(CIO、CTOなど)との共同説明責任を報告し、56%がCEOとの共同説明責任を持ち、29%が他のCスイートの役割(CFO、最高法務責任者など)との共同説明責任を持っています。
このレポートはまた、96%のCISOが現在AIガバナンスとリスク管理に責任を持っていることを発見しました。
一方、CyberRisk AllianceのQ1 2026のCISOトップ10レポートは、ガバナンス、リスク、コンプライアンスが現在のCIOの最優先事項であることを発見しました。レポートは、これはGRCの「サイバーセキュリティが経営幹部と取締役会の信頼を獲得する主要メカニズムとしての役割」を反映していると述べています。
レポートはまた、「組織はリスク監督が継続的、防御可能であり、企業の意思決定に統合されていることを証明するプレッシャーにさらされています。CISOはますます、規制上の義務、企業のリスク許容度、セキュリティ管理をリアルタイムガバナンスをサポートする一貫した運用モデルに統一することが期待されています」と述べています。
進化するリスクは新しいCISOリーダーシップ像を必要とする
CISOをリスク職に転換する動きは、技術とサイバーセキュリティのみに限定されない変化は何年も前から進んでいました。しかし、2022年後半のChatGPTの到来以来加速してきており、組織が最初は生成AIを、より最近では自律型AIを導入しました。それはAIがビジネスプロセスと融合するのに対し、以前のテクノロジーはビジネスプロセスのみを可能にしたからです。この融合はステークスを高め、サイバー、デジタル、ビジネスリスクをほぼ同義にします。
この進化により、CISOはより深くリスク評価と管理に移動し、過去のCISOとは異なるタイプのCISOを必要とします。
「CISOは恐怖やコンプライアンスに基づいて歩き回り、決定を下すことはできません。彼らは今、ビジネス用語でリスクについて話すことができなければなりません。彼らはリスクがビジネス上の会話であることを理解する必要があります」と、イースタンミシガン大学情報セキュリティおよび応用コンピューティング学部の講師Leon DuPreeは述べています。
リーディングなCISOはリスクと、これらのリスクに対処するための選択肢のROIの両方を定量化することでこれを行い、多くはサイバーと運用上のリスクを財務用語で理解し、位置付けるため因子分析情報リスク(FAIR)モデルを使用していると、DuPreeは述べています。
「それはCISOが進もうとしている方向で、セキュリティ資産とリスク軽減に費やされているすべてのドルのROIから変化と革新を促進できるようにするためです」と彼は付け加えています。
S-RMのCaronはこのアプローチを取るより多くのCISOを見ています。
たとえば、彼は、より多くのセキュリティチーフが組織内のAI利用に関連するリスクを評価およびモデル化し、これらのリスクがビジネスプロセスにどのように影響するかを報告するように任務を与えられていると述べています。単にデータ整合性とITシステムではなく。
そのような職務を遂行するために、CISOは彼らのサイバーの才能よりも彼らの経営スキルをより多く使用する必要があります、Caronは述べています。彼らはAIおよび他のテクノロジーの導入に伴うリスクを特定し、ビジネス用語でそれらのリスクを定量化し、軽減戦略を提供し、各軽減オプションがビジネスリスクをどの程度削減するかを定量化し、期待される利益とビジネス目標に基づいてリスク関連タスクを優先順位付けするのを支援する必要があります。
「非常にテクニカルなレンズよりもビジネスリーダーのレンズが必要です。そのため、CISOは現在、ビジネスのパートナーとして成長を加速させる方向に会話をステアリングする責任を負う必要があります」と彼は説明しています。「今日のビジネスはますますビジネスCISOをより多く要求しています。」
Caronはそれが重要な要求であることを認めており、CISOがテクニカルおよびコンプライアンスを超えて、ビジネス運用、エンタープライズ戦略、市場条件に彼らの知識ベースを拡張する必要があります。
「私は、CISOがそこに行き始める必要があると思います。必ずしも今日彼らがいるところではなく」と彼は付け加えています。「多くはまだ、それが取る精神的な転換に苦労しています。」
欲求の問題
Artico SearchのサイバーセキュリティプラクティスのパートナーおよびIANSリサーチ学部メンバーのSteve Martanoは、CISOの大多数はテクニカルおよびエンジニアリング分野を通じて上昇するため、多くはエンタープライズリスク評価と管理をまだ新しいタスクと見なしています。
しかし、Caronのように、彼はそれが今の仕事の一部であると述べています。
「新興テクノロジーが組織のリスク属性にどのように影響するかを理解することは彼らが行わなければならないことだと思い、エンタープライズリスクの周りの会話は、セキュリティプラクティショナーが通信するときに常に努力すべきことだと私は思っています」と彼は述べています。
しかし、Martanoは、他の人と同様に、CISOは組織のリスク欲求を確立することの所有権を持っていない、また仮定すべきではないとも述べています。
「それはリスク姿勢自体を再検討するCISOの仕事ではありません。『私たちはあまりにもルーズに運営している』と言うのはCISOの仕事ではありません」とMartanoは述べています。
代わりに、CISOは「組織が境界線の内側と外側だと考えるものについてのよい理解」を持たなければならず、「テクノロジー、プロセス、ツールがリスク姿勢に影響を与える可能性のある方法をフラグ付けする」ことができます、と彼は述べています。「CISOはアドバイザーです。」
取締役会はCISOが現在および将来のリスクを特定・評価し、それらのリスクを軽減、転嫁、保険をかける、または受け入れるかどうかについてアドバイスできることを期待していると、彼は付け加えています。
テクノロジー、AI、およびそれらの企業での使用が急速に進化しているため、これは今までになく困難かもしれません。
「最高のCISOは周りの隅にあるリスクについて考えます。彼らは物事がどこに向かっているのかについてのパルスを持たなければなりません」とMartanoは付け加えています。「彼らはビジョナリーである必要はありません。しかし、彼らは彼らの4つの壁の外でもっと関わり、ベンダーに関わり、同僚とのメッセージングを情報共有し、マクロレベルでのパルスを持つことによってプロアクティブである必要があります。彼らが聞いているもの多様化するほど、彼らは彼らの取締役会と経営チームに情報の断片をもたらし、議論し、それらが彼ら自身の組織のリスク文化にどのように影響するかについて話し合うことができるので、より良いです。」
