3回目となる今回は、まず、近年注目を浴びる情報セキュリティー統括責任者CISO(Chief Information Security Officer)について、Forbesの記事を斜め読みします。ISFは、国際的に活躍するCISOの一大コミュニティーです。自らの能力開発に余念のない彼らへのインタビューも踏まえ、CISOへの期待スキルがこの20年間でいかに変遷したかについて、報告書が公表されています("Becoming a next-generation CISO” )。記事では、報告書で整理された「新たな6つのスキル」をSteve Durbinが要領よくまとめています。

次に読む記事は、CISOというヒトがさまざまなスキルを総動員して対峙(たいじ)する先、やはりヒトの問題に関するものです。インサイダーとの向き合い方は極めてナイーブで、問題の性質によって、また国や企業あるいは文脈によって多様。情報セキュリティーにおける、ヒトへの迫り方、の最前線を垣間見てみたいと思います。


高みを目指すCISOに必要な6つのスキル

Steve Durbin(ISF:マネージング・ディレクター、フォーブス:ビジネス・カウンシル・メンバー)(出典:Forbes 2020年9月22日、訳:小原)

(写真はイメージ:GETTY)

デジタルトランスフォーメーションの急襲、目まぐるしく変わるコンプライアンス、また、高スキル人材の枯渇などが相まって、近年、情報セキュリティー統括責任者(CISO)の重要性が高まっています。才能や経験に恵まれたセキュリティー専門家への需要はこれまでになく高まっており、あらゆる企業が助力を得ようと躍起になっている今こそ、大きな飛躍のチャンスもあります。

CISOは、変化に富んだやりがいのある役職で、ビジネスの成功に大きな影響を与えることができます。世界的な不況、貿易摩擦、あるいはさまざまな不透明感などを背景とする、業務拠点の分散化や規制強化に対処しなければなりません。CISOは、その職務をそつなくこなし、また十分な予算を確保するためにビジネスニーズを深く理解し、具体的な成果を出し、各組織の長とも連携を図っていく必要があります。

仕事で成功を収めようとするCISOには、次の6つのスキルは決定的に重要だと考えます。

明快に伝達する

ビジネスリーダーであれば誰しも、明快な表現を使うことが求められますが、CISOにとっては、とりわけ重要なスキルです。サイバーセキュリティーの世界では、専門用語や込み入った技術的論点があふれていますが、CISOは、複雑な事柄を、取締役会や経営陣から倉庫フロアの作業員まで、誰にでも分かる言葉で説明することが重要です。また全従業員に浸透するセキュリティー文化を創るには、単に説明するだけでなく、優れたセキュリティー衛生(気を付ける習慣)の大切さについて、皆が疑いなく受け入れられるように導くCISOが必要なのです。

プレゼンテーション能力は、予算の獲得交渉や新対策の指揮、さらには従業員訓練などにおける、CISOの手腕を左右します。CISOは、取締役会その他の経営陣に対しても同様に、脅威の最新状況やコンプライアンス規制の最新動向、さらにはインシデントによる財務的影響を絶えず報告し、リスクを踏まえた意思決定が行われるようにすることが必要です。

リスクとチャンスとのバランスを取る

多くの企業がデジタルトランスフォーメーションに苦戦しつつも、技術の可能性を過信する傾向があります。有能なCISOは、企業のリスク許容度とチャンスの価値を比較して、リスク対応のための適切なコストを見積もることができます。

情報窃取や規制違反による将来の悪影響と、新技術や新プロジェクトあるいは方針転換によるビジネス上の潜在的なメリットとの間で、バランスを取る能力が不可欠。さもなければ、セキュリティーへの懸念がビジネスの勢いを抑制するリスクを冒すことになります。