JC ガイヤール、創業者兼CEO、Corix Partners | グローバルサイバーセキュリティアドバイザー&思想的リーダー | 著書「The Cybersecurity Spiral of Failure」
私は過去10年間にわたり、最高情報セキュリティ責任者(CISO)の短い在任期間について数多く執筆し、講演してきました。
毎年の調査によると、CISOの平均在任期間は18〜26カ月程度と推定されています。これは、CISOの役職が真のC級ポジションであり比較可能だと仮定すれば、他のC級役職の平均在任期間を大幅に下回っています。
2〜3年という推定値は、私自身の現場経験や自分のネットワークを通じて行った調査とも一致しています。
個人的には、CISOの短い在任期間は、多くの大企業におけるサイバーセキュリティ成熟度の長期的停滞を説明する主要な要因の一つであり、その結果として、現在私たちが目撃している絶え間ないサイバー攻撃の連続につながっていると考えています。
どんな大企業でも、サイバーセキュリティに関して実質的な変革を2〜3年で達成することはできません。大組織は常にサイロ化され、政治的で縄張り意識が強いものです。過去数十年にわたり、企業はサイバーセキュリティの変革のダイナミクスが、そのような短期間で企業構造全体に意味のある形で浸透するには、あまりにも複雑になりすぎています。
サイバーセキュリティ業界全体では、CISOの短い在任期間を説明しようとするいくつかの考え方があります。現場の現実とビジネス(またはCISO)の期待とのミスマッチ、意味のあることを達成するための予算リソースの不足、不適切な組織構造や報告ライン、スケープゴート化など、リストは長いです。
これらはすべて、フラストレーションと退職につながるビジネスとの何らかの断絶を示唆しています。私にとって、その断絶の多くはCISOの最初の100日間で形成されます。
新任の幹部が役職にどのようにアプローチし、最初からビジネスの利害関係者とどのように関わるかが、その幹部がその後他のリーダーたちにどのように認識され、扱われるかをほぼ常に左右します。
ジャーナリスティックなクリシェを超えて、最初の100日間には厳しい現実がいくつかあります。この期間は、あなたが企業、その文化、そして政治的側面をどのように理解しているかを人々が判断するのに十分な長さです。これらの側面はすべて、CISOのような複雑で横断的な役割にとって重要です。最初の印象はすぐに固まり、後で覆すのは難しいものです。
新任CISOが犯しうる最大の間違いは、先入観を持って突進し、クイックウィンを探すことです。他の場所でうまくいったことがここでうまくいくとは限りません。実際の意思決定者は組織図で最も大きな肩書きを持つ人とは限りません。技術的または組織的な性急な決断は摩擦を生む可能性があります。
重要なのは、まずすべての利害関係者の話を聞き、状況を把握することです。期待、問題点、過去の失敗とその背景、さらには前任のCISOに何が起こったのかを理解することです。実際の利害関係者から彼ら自身の言葉で聞くことで、全体像が固まり、そこから意味のある達成可能な方向性が浮かび上がるはずです。
ここで謙虚さが鍵となります。新参者として、地形を理解し、実際の推進者や影響力のある人物を特定し、企業のサイロや地理的な境界を超えて信頼と忠誠がどのように機能しているかを把握する必要があることを認識しましょう。これらすべてを最初の数週間で吸収し、組織のガバナンス文化に沿った戦略的・運用的フレームワークを共同構築する必要があります。
「あなたを助けるために何ができますか?」というのは、新任CISOが他の上級リーダーに最初に尋ねるべき質問であることが多いです。
まず耳を傾け、企業の実際の文化的・ガバナンス的背景の中でサイバーセキュリティの課題に対処するアプローチを構築し、関連するすべての利害関係者を結集させることで、新任CISOは戦略的思考家であり自然なリーダーとしての立場を確立します。
クイックウィンとして描かれる運用上の問題に急いで対処することは、単に役割を低下させ、CISOをほとんど抜け出せない消火活動のダイナミクスに陥れてしまいます。
それがあまりにも多くの人が犯す根本的な間違いです。結局のところ、ビジネスが自分の優先事項を理解していない、取締役会へのアクセスや十分な予算がないと不満を言うようになりますが、これらの側面はしばしば最初の100日間に構築された状況の結果です。
最初の100日間は、自分が何をできるかを示すことではなく、企業の実際の文化的・ガバナンス的背景の中でどのようにリーダーシップを発揮し、必要であれば変革を推進できるかを示すことが重要です。
新任CISOの最初の100日間は、CISOと主要なビジネス利害関係者との間に信頼の絆が形成される坩堝でなければなりません。これはビジネスの文化と優先事項に耳を傾け、その中にサイバーセキュリティ戦略を組み込むことからのみ生まれるものです。
