これからのCISOの役割を考える
こちらは2024/6/30にNewsPicksのビジネス・サイバーセキュリティのトピックスで投稿したものです。
https://newspicks.com/topics/business-cybersecurity/posts/0
近年、日本でもCISOというポジションを設置する企業が増えています。もしもあなたがCISOに任命された場合、最初の1年間で何に取り組むでしょうか?自組織のセキュリティアセスメントの実施やセキュリティ目標の設定、取締役会へのレポートの仕組み構築、セキュリティ専門組織の整備、そしてセキュリティスタッフの採用など、多岐にわたる業務が考えられます。
これらの課題に取り組む中で、Gartner Peer Communityの調査によれば、多くのセキュリティリーダーが燃え尽き症状を感じているというデータもあります。回答者(n=111)の内、夜間や週末労働のプレッシャーを感じているのが62%、非現実的な期待を背負わされているのが37%、組織のおける孤独感を感じているのは36%もいるとのことです。
CISOにかかりプレッシャーが日に日に増しているのは、社会、ビジネス、ITの変化が背景にあります。特に、クラウドの普及によりセキュリティの枠組みも大きく変わっています。セキュリティの高度化・複雑化が進む中、CISOは専門的な知識を持ち、組織内外の環境変化に柔軟に対応できる能力が求められ続けます。
かつて、組織におけるセキュリティ部門はITの付随物として扱われ、IT運用に引きずられた労働集約的な業務でした。しかし、クラウドなどのテクノロジーの進化により、セキュリティも規模の経済性が効く資本集約的な構造に変わってきました。
さらに、セキュリティの高度化・複雑化は止まることなく進んでおり、専門家の知識が必要という意味では知識集約的でもあります。労働集約から資本集約✖️知識集約へ競争のルールが変わったと言えます。時代時代で競争のルールは変わっていくものですし、その節目では必ずルールに適応できたものとできなかったもので格差が生まれます。
World Economic Forumの報告書 Global Cybersecurity Outlook 2024 によれば、セキュリティの成長過渡期における「Cyber Inequity(サイバー格差)」が指摘されています。この現象は、産業の成長過程で自然なものであり、一概に良し悪しとは言えません。
サイバーセキュリティの耐性は鎖のようなものと言われています。一番弱い鎖(Weakest Link)が破られると鎖全体も崩壊するように、組織やサプライチェーンも一番弱いところへの対策が重要です。
よって、サイバー格差は是正することよりもむしろ、最も弱い企業や組織を底上げすることが社会全体にとって極めて重要です。競争のルールの変化に適応したトップランナーは世の中にベストプラクティスを広め、その他のプレイヤーに効率的な成長を実現する機会を提供すべきでしょう。
したがって、CISOが最初に行うべきことは、このような先人や他者の知恵(ベストプラクティス)を組織に取り入れ、組織全体のセキュリティをまずはボトムアップさせることです。それを踏まえた上で、組織毎に異なる目的・目標・要件を定め、それらが変化したとしてもすぐに適応できる組織文化を作ることがCISOの本質的な役割と言えるでしょう。
このリンクは、サイバーセキュリティ専門家のトレーニングと認定を専門とする非営利組織で、世界最大のITセキュリティ組織と言われるISC2で実施したCISOパネルディスカッション「今後3年間でCISOが行うべきことは何か」のセミナーです。今回の投稿内容にご興味ある方は、参考になりますのでご参照ください。
