CISOを目指すなら「信頼」を積み上げろ 上司と部下から信頼を集める秘訣:Cybersecurity Dive
CISOを目指すのなら、漠然とした目標を並べるのではなく、リーダーや同僚、チームという3つの重要な関係者に対して「信頼」を提供することに注力すべきだ。信頼を積み上げることでどのようなメリットがあるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
CISO(最高情報セキュリティ責任者)の職務には、企業リスクの軽減およびマルウェア攻撃の削減など、オープンエンドで定量化できない目標が設定されている。達成することも追跡することも困難な要求は、専門家としての能力を低く感じさせる可能性がある。
その結果、CISOが燃え尽き症候群を経験する割合が高くなる(注1)。
あなたの会社のCISOは「信頼」を築けているか?
信頼は、組織と従業員にとって不可欠な資産であり、ビジネスの成功を示す最良の指標だと考えられている。しかしCISOの職務概要において、信頼に関する言及がなされることはほとんどない。CISOは漠然とした目標を並べるのではなく、リーダーや同僚、チームという3つの重要な関係者に対して、信頼を提供することに注力すべきだ。
シニアリーダーが信頼を構築し(注2)、発展させることは決して容易ではない。つまり「CISOにとって信頼とは何か」を定義することに集中する必要がある。
シニアリーダーとの間で信頼関係を構築する方法
CISOは従来、コンプライアンスの強化とセキュリティの厳格化を目指し、インシデントの発生率を低下させるための戦略を展開してきた。これらの取り組みは、関係者に対する信頼の構築にもつながる。しかし、インシデントの発生を完全に回避し、厳格さを常に保ち続けることは困難だ。この場合、信頼がなければ関係者は支援を他に求めるようになる。
シニアビジネスリーダーがCISOに対して必要な権限とリソースを託すためには、CISOが組織の目標を理解し、ビジネスニーズの変化に迅速に適応すること、そして、優先順位にのっとってサポートし、それに見合った成果を上げるためのチームを構築できることを知っていなければならない。
CISOの職務を振り返ると、組織の目標に対する理解と適応、それを達成するための連携に関する内容が含まれていない場合もある。これは一般的に、職務概要が人事担当者によって作成されるためであり、人事担当者はCISOの責任や要件を正しく理解していない可能性がある。
シニアリーダーは、CISOがこれらの要件にどれだけ適応しているかを確認するダッシュボードを持っていない。そのためCISOは、セキュリティ担当者のエンゲージメントや離職率を追跡し、組織のサイバーセキュリティプログラムの能力の成熟度に関する継続的な改善を報告するなどの対策を講じる必要がある。
従業員間の信頼関係を構築する方法
チームとCISOは日常的に連携する。これらの従業員にとって、信頼はコミュニケーションと権限委任の問題である。
多くのリーダーは、コミュニケーションで失敗する。具体的には、自分の価値観を伝えられず、代わりに視野の狭い指示を与えてしまう。リーダーと従業員がオープンに対話できる機会は重要だ。これによって、従業員がCISOの決定の背後にある理由やチームの仕事、自分の役割の重要性を理解できるようになる。
その結果、信頼が高まり意味を共有できるコミュニティーが形成される。
多くのCISOは、自分の職務に関連する決定を下すための技術的なバックグラウンドを持っているだろう。しかし、そうであるからといって、CISOが全ての決定を下すべきというわけではない。決定が結果から遠いほど、その決定は失敗につながる可能性が高くなる。
委任によってリーダーは従業員に権限を与え、自分の役割が評価または信頼されていると感じさせ、成功の確率を高められる(注3)。CISOのチームで信頼関係を構築するためには、従業員が自らの責任で下す決断を信頼することから始めなければならない。
リーダーと従業員の間の信頼関係の重要性
多くのCISOは、信頼を、誠実さや信頼性、能力をはじめとする一連のベクトルとして捉えている。信頼を自然に構築できる組織は、信頼性の高いセキュリティプログラムを構築するために必要な参加の機会とリソースを確保し、防御体制やコスト、ステークホルダーとの要求のバランスを整えられる。
他の経営幹部がCISOを信頼するようになると、幹部によるマイクロマネジメントが減る。経営幹部の期待に応えるためにCISOが努力していることを幹部が把握するため、セキュリティプログラムを支援する傾向が強まる。リーダー間の信頼関係が構築されると、CISOが新たな優先事項を推進する必要があるときに従業員も耳を傾けるようになる。
逆にリーダーがCISOを信頼できなくなると、CISOを介さずにインシデント報告をセキュリティベンダーに直接依頼するようになるかもしれない。
全体としてシニアリーダーシップとCISOの間の信頼関係は、セキュリティに対して、連携した上での積極的なアプローチを可能にし、セキュリティインシデントや危機に対する迅速で強靭な対応を可能にする。
CISOのチームに所属する従業員は信頼によって、組織全体のセキュリティ文化と意識向上を主導するようになり、他のメンバーに影響を与えるようになる。信頼によって、組織は競争の激しい市場で人材を引き付け、維持できるようになる。
リーダーを信頼する従業員は、良い時も悪い時もリーダーに従う可能性がはるかに高くなる。
(注1)Press Release(Gartner)
(注2)Guiding CIOs and IT executives through the future of technology and business(Gartner.com)
(注3)Four Facets of Effective CISO Leadership(Gartner)
関連記事
「人は足りないが初心者はいらない」 セキュリティ業界が直面する深刻な人材不足
ISC2の調査によると、サイバーセキュリティ業界の専門家は世界で550万人に増加しているが、増加するデジタル分野の脅威から身を守るためには、依然として数百万人の有資格者が必要であることが明らかになった。
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。
取締役会はセキュリティに本気になるのが“遅すぎる” グローバル調査で判明
Trellixは、セキュリティインシデントに関するグローバルの調査結果を公表した。日本や米国をはじめとした13カ国における500人以上のCISOを対象に実施している。
なぜあなたの企業にセキュリティ人材が集まらないのか? ISC2が調査を公開
サイバーセキュリティ人材はなぜ足りないのか、これを解消するにはどうすればいいのか。ISC2が公開したグローバル調査の結果から日本企業におけるその答えが明らかになった。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。