経営幹部が過小評価する、CISOの存在意義とサイバー攻撃リスクの実情
セキュリティ責任者は、経営幹部との関係性を深めて明確な目標を設定し、ストレスの軽減に務める必要があります。
この記事のポイント:
- サイバー攻撃の増加により、組織の緊張感が高まっている
- リスクと対抗策を説明することで、有事の際、ビジネスリーダーが協力的になる
- ビジネスチームの目標を理解し、またデータに依拠することにより、経営幹部と円滑な関係性を築くことができる
ソフトバンク・ビジョン・ファンドで最高情報セキュリティ責任者を務めるゲイリー・ヘイスリップ氏はストレスに満ちたパンデミック初期のある日、自宅で現実逃避すると決めました。彼と妻はその週、4,700ピースものレゴブロックを使って、全長1.2メートルのスター・デストロイヤー(『スター・ウォーズ』に登場する宇宙戦艦)を完成させました。ヘイスリップ氏は「瞑想のようで、心が非常に落ち着いた」と明かします。
この体験は、多くのCISOに間違いなく必要です。
最高セキュリティ責任者が担当する課題は、過去18か月の間に増加しています。断続的な外部からの脅威だけでなく、社内でも多数の重要課題が発生し続けています。CISOは唐突なリモートワークへの切り替えや、劇的に増加したサイバー攻撃、セキュリティ領域の人手不足に伴う業務量の増加に対処してきました。さらにプライバシー法規制への準拠などの新たなタスクもCISOに割り当てられています。これらの課題に加えて彼らは、組織との緊張感あふれる、不確かな関係性にも直面しています。グローバルな情報セキュリティエグゼクティブを対象としてEYが最近実施した調査によると、この2者の関係性はかつてないほど緊迫しています。
豪州最大の通信プロバイダー、Telstra傘下のテクノロジーコンサルティング企業、Telstra Purpleでサイバーセキュリティアドバイザリー統括責任者を務めるマノージ・バット氏は次のように述べます。「ポストパンデミックな世界と容赦ない脅威という状況でのビジネスの変化の激しさを考慮すれば、組織図の中でCISOの責務が最も過酷であることはおそらく間違いありません」
さらに悪いことに、「他の多くの経営幹部はセキュリティリスクを見誤っており、避けることのできないサイバー攻撃の存在を認識していない」と指摘しているのは、シリコンバレーを拠点とする暗号化テクノロジープロバイダー、EclipzのCISOであり、セキュリティエグゼクティブが直面する課題について積極的に発信しているマシュー・ローゼンクイスト氏です。
つまり、サイバーセキュリティリーダー層は勝ち目のない状況に追いやられていると言えます。ローゼンクイスト氏はこう説明します。「CISOがへたをして会社が攻撃による損失を被った場合、CEOは『お前がいる意味がない』と言います。しかし、CISOが非常にいい仕事をして一切の損失が生じなかった場合も、経営幹部はこう言います。『何もかもうまくいってる。お前は必要ない』」
経験豊富なCISOや他のセキュリティエキスパートは、他の経営幹部や執行役員とのすぐれたコミュニケーションが対立のピークを緩和し、CISOのプレッシャーを軽減する上で大きな効果がある、と語ります。彼らは、そうした主要なグループとの間に共感と理解を育むために次の戦略を提案しています。
1. 現実的な期待値を設定し、経営幹部に細部まで理解してもらう
多くのCISOは、彼らが直面している脅威と、それを未然に防止する目的で導入した対策について把握しています。他の経営幹部に同じだけの知識を確実に与えることも、CISOの役目です。経営陣がセキュリティ侵害はビジネスにとって現実であることを理解し、またその対抗策にも確信を持っていれば、彼らが「不意打ちを食らった」という受け止め方をする可能性も低くなります。
ヘイスリップ氏はこう指摘します。「誰もが常時セキュリティ侵害のニュースを目にしています。CISOは一歩踏み込んで、このリスクが自社とどのように関わっているか、自社にあるシステムはどれかを説明し、より大きな文脈を提供する必要があります」
ヘイスリップ氏はソフトバンクの他部署のリーダーと会う機会を設け、彼らのビジネス目標や、保護を必要とする重要なリソース、および、セキュリティ手段がチームにもたらす可能性のある軋轢について把握するよう務めています。CISOという役職は単なるテクニカルリーダーではなく、「リスクを管理するビジネスエグゼクティブ」であり、「セキュリティボックスに閉じこもり、その領域だけ習熟しておけばいいという話ではない」とヘイスリップ氏は主張します。
2. 相手を理解し、効果的にコミュニケーションをとる
セキュリティエグゼクティブ層を率いるCISOには、各種事業部門とInfoSecチームをつなぐ重要な連絡係としての役割もあります。効果的なコミュニケーションを実現するには、事業部門における優先事項を把握し、サイバーセキュリティやIT分野の複雑な専門用語ではなく、彼らの言語で会話しなくてはなりません。
一方、500名のグローバルサイバーセキュリティリーダーが所属し、ロンドンを拠点とする組織、ClubCISOが最近行った調査において、「自分はすぐれたコミュニケーションスキルを持っている」と回答したCISOはわずか3分の1ほどでした。またこの調査報告には、CISOの業務にはテクニカルな知識よりもビジネスに関する知識の方がはるかに重要だという言及がある一方で、このスキルを「十分に備えている」と回答したCISOは少数にとどまりました。
社内の顧客への理解が非常に重要であるのも、これが理由です。ローゼンクイスト氏は次のように指摘します。「人事部に対しては、従業員のセンシティブデータの守秘義務について話し合います。財務部なら、財務記録とプロセスの整合性に興味を持っています。製造部門の幹部の場合は、セキュリティ制御が収益と製造計画に与える影響を把握したがっています」
3. 認識されるための指標を計測する
CEOに次いで、CISOにとって最も重要な経営幹部は、予算管理を行う最高財務責任者です。CFOとの関係性がポジティブであれば、他のセキュリティイニシアチブについてもより多くのリソースを割り当てて、ワークロードを軽減できます。
財務責任者(や、他のビジネスリーダー)と協働する際に欠かせないツールとして、確かなデータがあります。デロイトでCIOプログラムリサーチリーダーを務めるカリード・カーク氏によれば、一部のCISOは過去12か月、または18か月間に防御に成功した脅威数と、攻撃者が何を標的としたかというデータを提供しています。
カーク氏にとって印象的だったある金融サービス分野のCISOは、経営幹部の同僚や他のビジネスリーダー向けにカスタムのサイバーリスクダッシュボードを作成し、彼らがセキュリティメトリックのメニューを定期的に確認できるように工夫していました。
「サイバーセキュリティの分野では、計測されたものしか認識されません。定義されたメトリックを準備しておくことが、ストーリーを語る上で役立ちます」とカーク氏は指摘しています。
明るい見通し
ClubCISOの調査は2022年を迎えるにあたり、CISOにとってよりポジティブな見通しを提示しています。現在、86%のCISOが「組織が事業と同じくらいセキュリティを重視している」と回答しており、65%だったパンデミック以前の数値から上昇しました。さらに、対象者の70%近くが「組織に肯定的なセキュリティカルチャーがある」と回答し、45%だった2020年に比べてこちらも上昇しています。
また、CISOは個々に、ストレスと戦う独自の方法を見出しています。ローゼンクイスト氏はサクラメントの自宅にほど近い、シエラネバダ山脈の山麓にバイクツーリングに出かけてストレスを解消しています。彼は「バイクツーリングはすべてを制御できるアクティビティで、完全に予測可能です。サイバーセキュリティとは真逆です」と語っています。
ヘイスリップ氏と妻は最近ハワイでのクルーズを予約しました。飛行機を使う休暇は数年ぶりです。ヘイスリップ氏は明言します。「この分野では、何らかの方法で自分を業務から引き離す必要があります」