CISOの進化：その役割はどう変わったか

多くの組織では、最高情報セキュリティー責任者（CISO）が主に、場合によっては専任としてサイバーセキュリティーを担当しています。しかし、今日の巧妙な脅威と進化するランドスケープに伴い、企業は多くの役割の責任を変更しており、CISOの役割の拡大はそれらの変化の最前線にあります。Gartner社によると、規制圧力と攻撃対象領域の拡大により、2027年までにCISOの業務範囲の45％がサイバーセキュリティーを超えて拡大するとされています。

CISOの責任範囲が急速に変化する中で、CISOの役割は将来のサイバー課題にどのように適応するのでしょうか。

Steve Katz氏は、1995年にCiticorp/Citigroupに就任し、世界初のCISOになりました。CISOとしてのキャリアをスタートした当初から、Katz氏は、その役割は単なるIT職ではなく、リスクを軽減してビジネスに貢献することにあると認識していました。その後数年間、他の組織はこの新しい職務にCISOを追加し、ほとんどの組織構造でCISOに報告を行いました。多くのCISOは自分たちの役割の本質を認識していましたが、他の組織は同じ認識を持っていなかったことがよくありました。

やがて、CISOは、パートナーシップの構築、サプライヤーとの連携、外部データ送信の管理など、組織の外にある問題に対処するようになりました。しかし、多くの組織では、その役割が主にIT領域に残っており、大規模なサイバーセキュリティー侵害や攻撃によってビジネスが大きく報道されないようにすることが最大の責任であると感じていました。つまり、多くのCISOが主にコンプライアンスとリスク管理に重点を置いているということです。

近年、サイバー攻撃の増加と事業の中断、罰金、風評被害などのリスクの増大に直面して、CISOの役割は新たに大きな変化を遂げています。Splunk社のCISOレポートによると、調査対象者の86%が、CISOになってから役割が大きく変わったため、ほとんど別の仕事のように感じられると答えています。その役割は、主に技術的な役割から、よりビジネス・リーダー的なものへと移行しました。

CISOは現在、サイバーセキュリティーを導入することではなく、組織のリーダーがサイバーセキュリティーの重要性を理解し、組織のサイバー・ストラテジーの戦略的思考を指揮できるようにすることに重点を置いています。CISOは、IT部門が容易に利用できる技術言語と上級リーダーのビジネス言語との間のギャップを埋めます。

この変化は組織構造の再構築も引き起こし、Splunk社のレポートによると、CISOの47％がCEOに直接報告するようになりました。CISOがCIOではなくCEOに応答することで、組織はサイバーセキュリティーの重要性を重要な優先事項として示しています。さらにCISOは、経営陣、場合によっては取締役会に参加することで、より大きな影響力を持つようになりました。

サイバーセキュリティーの専門家は、CISOの役割がビジネスとテクノロジーのどちらに重点を置くべきかを議論します。先に進んでいくと、答えはその中間にしっかりと収まっていきます。今日の成功するCISOは、その役割を真に成功するには、技術的見識とビジネス的見識の両方を貴重なレベルで兼ね備えている必要があります。

CISOは、組織がサイバーセキュリティーとリスクに関して共通言語を話すのを助けるだけでなく、組織全体のサイバーセキュリティー・ストラテジーを所有する、より大きなリーダーシップの役割を担います。知名度が高まり、責任が高まるにつれて、他の従業員も組織におけるサイバーセキュリティーの重要性を認識するようになります。

Katz氏がニュースを発表して以来、CISOはここ数十年の間にしか存在しなかった新しい経営幹部の役割の1つとして、大きく進化しました。脅威がますます巧妙化し、ビジネスのデジタル化が進むにつれて、サイバーセキュリティー攻撃によるビジネスの中断は、企業のあらゆる側面に影響を与えることがよくあります。サイバーセキュリティーの重要性の高まりを認識し、CISOの役割を進化させる組織は、すべての従業員と経営幹部がサイバーセキュリティーを仕事と考える文化を作り上げることができます。