実のところ、欧米の一流企業のCISOにも悩みはたくさんある訳です。パンデミックの大洪水が引いて久しぶりに出社しても、以前の芸風では、尊敬されることはおろか生き残れないかもしれません。そうした中で、今求められているスキルは、新しい技術の知識よりも、知を産み出す対話力だというのです。

そこで思い出すのは、産婆さんを母親に持つソクラテスが対話の相手から知を次々と引き出していくスキルです。何か新しい価値のあるものを産み出す対話術そのものは、ソクラテスに学ばなければなりませんが、最前線の悩みは何か、それにどういうアドバイスをISFはするのか。後進のCISOたちに語り掛ける、名うてのセキュリティアナリストで愛すべきポールさんの話を聞いてみることにしましょう。

(次のページから引用)


セキュリティと経営陣 ― 話せばわかる

Published: 9 March, 2023
SOURCE:ISF
Paul Watts, Distinguished Analyst, Information Security Forum

 

今は、パンデミック後の(デジタル化された)時代。

今般のパンデミックの衝撃からの復旧が進められる中、デジタルトランスフォーメーションが多くの企業の事業運営を劇的に変化させています。イノベーション、効率化、収益性の向上が約束されたことで、一刻も早い変革への圧力が高まっています。しかし、急進的で抑制のきいていない変革の仕方では、ビジネスリスクも、得られるべき見返りも共に増大させかねません。セキュリティリーダーとビジネスリーダーは、肝心なときに離反してしまっています。デジタルトランスフォーメーションのリスクを適切に受け入れ、管理できるような業務上の協力関係を構築するために、意識改革が急務となっています。この記事では、離反が生じた理由、何もしないことの意味、そして構築するために取るべき重要なステップへの踏み出し方を探ります。

(Image: the ISF)

人間関係が険悪になっている(または、「私ではなく、あなたでは?」)

「どうしても(役員会の)関心を引くことができないんだよ」。最近ロンドンで開かれたセキュリティリーダー会議で、大変尊敬されている昔馴染みの最高情報セキュリティ責任者(CISO)が嘆いていました。 「おそらく経営陣がCISOに興味を持たなかったり、役に立つと思わなかったりしているからでは」と水を向けると、「CISOが問題なのではなく、経営陣が自社のことを一番よく知っていると思っていて、CISOの助けを求めていないことが問題だ」という興味深い反応が返ってきました。 

どうも、少し疎外感が見て取れます。現実問題としては、関心の有無ではなく、関係性が問題なのです。

ビジネス現場におけるテクノロジーには、何年も前からイメージの問題が付きまとってきました。高価、理解しにくい、使いにくい。敵対的。威嚇的。しかし、かつてはテクノロジーは会社を支えるだけの贅沢品だったのが、今やテクノロジーは会社そのものになっているのです。会社に代わってテクノロジーを管理するチームが作られ、セキュリティのスタッフと組んで、安全性を確保するようになりました。会社はテクノロジーの仕組みにはほとんど関心を持たずすっかり任せっきりで必要なときや何か壊れたときだけ、チームに声を掛けました。そして、長い間、これで十分だったのです。

テクノロジーの利用者は今、その力を実感しています。しかし、まだまだ知識格差が残ります。リスクもそうですが。

テクノロジーは成熟しました。技術革新によってテクノロジーは神秘を解かれ、使いやすくなり、利用者には力が与えられました。 もはや、テクノロジーチームやセキュリティチームに依存せずに、物事を進めることができるようになりました。

ところが、時限爆弾がチクタク鳴っているようです。

最新の使いやすいテクノロジーも、拙速で不注意な導入をすると、ビジネス上で制御不能なリスクをもたらします。ちょうど小さな子供に電動工具を与えて立ち去るようなもので、サポートや監視がなければ、結果は危険なものになる可能性が高いのです。ビジネスリスクについても同じことが言えます。導入したテクノロジーは会社に損害を与えるか、もっと悪い場合には、犯罪者に悪用される可能性があります。IBMの調査によると、このような悪用により、2021年に世界の産業界が被ったデータ侵害1件あたりの損失は、平均424万ドルでした。

ビジネスやテクノロジーとセキュリティの間には、言葉の壁があります。これは
もう昔からある問題です。テクノロジーやセキュリティのスタッフは、ビジネス
言語を話すのが苦手なので、ほとんどの人はわざわざビジネス言語で話してみようともしません。そう、まるで、外国人レストラン経営者が困惑してるというのに、英国人観光客が英語で怒鳴っているようなものです。技術者でもなければ技術用語は理解できず、スタッフももどかしさを感じ、怯んでしまうのです。そのため、どちらもお互いを疎ましく思い、やりとりをしない方が楽に思えて来るのです。  

テクノロジーとセキュリティのリーダーは、これまで以上に経営陣と密接に連携する必要があり、またデジタルトランスフォーメーションも減速する兆しを見せない現在、連携不足が真に問題となっているのです。悲劇的なのは、テクノロジーチームもセキュリティもチーム皆が至極やる気があるのに、経営者から忘れられた存在なのです。少なくとも、会社がトラブルに見舞われ、その困難な事態の収拾に当たるよう命ぜられるまでは。それまで、経営陣は足を踏み鳴らして怒りに震え、当たり散らし、よりによって障害を防ぐのに役立ったはずの、まさにその人たちを責め立てているという訳です。