JC・ガイヤール氏、Corix Partners創業者兼CEO | グローバルサイバーセキュリティアドバイザー兼ソートリーダー | 著書『新任CISOの最初の100日間』
最高情報セキュリティ責任者(CISO)の役割をめぐる議論がしばらく前から展開されており、私はそれに対して次第に違和感を覚えるようになっている。
それは数年前にスケープゴート理論から始まり、現在では、この役割を悩ませていると言われる「権限なき責任」というパラダイムへと変化している。「組織は責任を再定義し、CISOに真の意思決定権限を与え、レジリエンスに投資しなければならない」と、2人のサイバーセキュリティ専門家が昨年11月にComputer Weeklyに寄稿している。
この役割が過去数十年でより複雑になり、多くのCISOが苦戦しているという事実に異論はないが、Computer Weeklyの声明は少なくとも3つの点で議論の余地がある。
慢性的な投資不足が核心的な問題ではない。戦略的実行こそが問題だ。
第一に、私の見解では、多くのCISOが直面している問題がサイバーセキュリティへの慢性的な投資不足に根ざしているという考えは誤りである。
ほとんどの大規模組織は、過去20年から30年の間にこの分野で多額の投資を行ってきた。彼らが苦戦してきたのは、自らの風土に根付いた短期的思考とコンプライアンスに関するチェックボックス文化による戦略的実行である。迅速な成果が得られたり、監査報告書に対してチェックボックスが埋められたりするとすぐにサイバープロジェクトの優先順位を下げることは、いかなる種類の長期的な成熟にもつながったことがない。
その近視眼的な文化はCISOの間にフラストレーションを生み出し、在任期間が短いという慢性的な問題を引き起こしてきた。それが今度は、サイバーセキュリティ保護レベルの長期的な停滞を悪化させている。大企業では、その動きの遅さと組織の複雑さのために、2年から3年で変革的な実質的成果を達成することはできない。
このダイナミクス──フラストレーションが短い在任期間につながり、それがサイバーセキュリティの停滞につながる──は、私が「サイバーセキュリティの失敗のスパイラル」と呼んできたものの中核にあるエンジンの1つであり、多くの組織で過去20年間を支配してきた。これがCISOが対処しなければならない真の問題を形作っている。
大企業において権限を動かすのは影響力である──それ以外にはない。
私の第二の論点は、CISOに「真の」意思決定権限を与える必要があるという考えを中心に展開される。
私にとって、この考えは大企業が経営幹部レベルで運営される方法についての単純化された見方を反映している(CISOの役割をそのレベルにあるものとして扱うと仮定した場合──これは多くの組織で大いに議論の余地がある)。
そのレベルでのほとんどの大規模な意思決定は影響力によって動かされる。なぜなら、現代の企業はしばしばサイロ化され、政治的で、縄張り意識が強く、個性に支配されているからだ。それが単に厳しい現実である。そのレベルでは、誰も真の意思決定権限を持っていないことが非常に多い。意思決定は集団的に、そして内部の影響力ネットワークを通じて行われる。
CISOは影響力を通じて活動することを学ばなければならない。多くの人にとって、これは真の課題である。なぜなら、彼らは過去20年間の大部分を技術的危機の消火活動に費やしてきており、経営幹部レベルで真の影響力を構築するために必要な種類の経営の洗練さと政治的重みを開発してこなかったからだ。ガバナンス構造だけが彼らに権限を与えることを期待するのは近視眼的である。
組織が変わるのを待つのではなく、CISOが進化しなければならない。
組織が変わってCISOに権限を与えるべきだという考えも、私が誤解を招くと感じるものである。
私の経験では、企業構造はそのようには進化しない。CISOが真のリーダーに変わり、それらの権利を勝ち取り、経営幹部レベルで影響力があるものとして受け入れられることが必要である。
これは技術的能力から生まれるものではなく、ビジネス、その優先事項、課題、文化、ガバナンス慣行に真に耳を傾け、ビジネスが認識し支持する方法でサイバーセキュリティ戦略を組み込む真の能力から生まれる。
最初からビジネスステークホルダーとサイバーセキュリティ戦略フレームワークを共同構築することが絶対に重要である。そしてそれは、新任CISOの最初の100日間から始めなければならない。これは、上級ステークホルダーとの関係が築かれ、固められる重要な期間である。自分を証明するために技術的な迅速な成果を求めて在任期間を始めるCISOは、しばしば戦術的なゲームに閉じ込められることになる。
責任と権限は、大企業で誰かが実際に割り当てるガバナンスパラメータではない。それらはステークホルダー間の信頼の絆を通じて勝ち取られる(権限)か、受け入れられる(責任)ものである。CISOは、自分たちの役割が今やそのような種類の企業の複雑さに属しており、それをナビゲートすることを学ぶのは彼ら自身にかかっていることを受け入れなければならない。
最終的に、CISOの役割の将来は取締役会憲章や改訂されたガバナンスモデルによって定義されるのではなく、CISO自身によって定義される。そしてこれを実現するために進化するのは彼ら次第である。さもなければ、最高セキュリティ責任者タイプの役割が時間とともに出現し、彼らを押し下げることになるだろう。
権限は企業世界では配られるものではない。それは信頼性、影響力、そして保護しようとしているビジネスへの深い理解を通じて獲得されるものである。組織が変わるのを待ち続ける人々は待ち続けることになる。適応し、耳を傾け、リードする人々が変化を形作るのである。
