最も不憫な経営幹部? CISOの業務満足度の低下が企業に与えるダメージ:Cybersecurity Dive
調査によると、CISOの仕事に対する満足度は、企業に深刻なダメージを与える可能性がある。満足度を上げるために企業がまずやるべきこととは何か。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティの仕事には高い報酬が設定されている。特に専門家が管理職の階段を上るにつれて報酬は高くなる。CISO(最高情報セキュリティ責任者)の年収は一般に40万ドル〜100万ドルだ(注1)。
お金だけではセキュリティ担当者は幸せになれない
しかし、お金で幸せややりがいを買うことは困難だ。コンサルティング組織であるIANSとArtico Searchの調査によると(注2)、2023年の時点でCISOの4人に3人が転職を考えていた。
CISOは役職として存在しているが、必ずしも組織のリーダーとして受け入れられているわけではない。CISOはサイバーインシデントやコンプライアンス違反の責任を負わされる可能性があり、これが職場満足度の低下につながっている。
報告書では「さらに、規制当局や検察当局はCISOに組織の透明性や不正行為に対する責任を問うようになっている」と指摘されている。
データセキュリティサービスを提供するPathlockのピユーシュ・パンディ氏(CEO)は、電子メールで次のように述べた。
「CISOは個人の責任と評判への影響に悩みながら、サイバーセキュリティリスクの重大性を把握できないリーダーシップチームを相手にしなければならない。こうした問題に日々のセキュリティ運営のプレッシャーが加わる。それに見合った報酬がなければモチベーションが欠如するだろう」(パンディ氏)
CISOの満足度低下が企業に与えるダメージ
データ保護やプライバシーに関する規制要件が強化される中、CISOの肩にかかる重荷は燃え尽き症候群を引き起こしている。サイバーセキュリティ事業を営むCritical Startのジョージ・ジョーンズ氏(CISO)は、この問題を目の当たりにしている。
「同じ役職の人たちがワークライフバランスやキャリア開発に苦心しているのを目の当たりにしている」(ジョーンズ氏)
ジョーンズ氏はCISOの満足度の欠如が企業のセキュリティに重大な影響を与える可能性があると付け加えた。
- 有効性の低下: CISOが不満を抱えると、サイバーセキュリティリスクを管理および軽減する役割に対するモチベーションが低下する可能性がある
- 人材定着の問題: 不満を抱えたCISOは早期に退職するため、離職率が高くなり、組織が不安定になる。また、リーダーシップやプロセスに潜在的な空白が生じる可能性がある
- 文化への影響: CISOは組織のセキュリティ文化を形成し、従業員のセキュリティ意識を高める重要な役割を果たしている。満足度の低さが、組織内で強固なセキュリティ文化を醸成する能力に影響を与える可能性がある
- 脆弱(ぜいじゃく)性の増大: 満足感の欠如は、サイバーセキュリティの取り組みに割り当てられるリソースの不足にもつながり、組織はサイバー脅威や侵害に対してより脆弱になる可能性がある
CISOを腐らないために企業がやるべき優先事項
CISOにリーダーとしての明確な役割がないことが仕事の満足度を低下させている。企業の取締役会にアクセスできるCISOは「仕事とセキュリティに関する要求の処理に対する満足度が高い」と報告している。
IANSとArtico Searchの報告書によると、取締役会との接触がない場合、満足している人はわずか28%である。一方で、取締役会とのやりとりがあれば「満足している」とする人の割合は57%に上る。
リーダーシップの会議において、CISOとサイバーセキュリティが見過ごされている場合、組織はサイバーセキュリティのベストプラクティスを採用しにくくなり、企業文化にサイバーセキュリティを意味のある形で統合するのに苦労することになる。
企業の優先事項は、セキュリティとビジネスリーダーの間の障壁を取り除くことだ。
これは、全ての取締役会において、CISOに席を与え、そこでサイバーセキュリティの取り組みについて積極的かつ定期的に議論することから始まる。また、サイバーセキュリティのベストプラクティスの積極的な実践、十分な資金を投じたサイバーセキュリティチームとプログラムは決して安価なものではないという事実を組織は受け入れなければならない。それらは、今後も決して安くならない。
「侵害後の事後対応よりも先行投資の方が費用対効果が高いことを、取締役会レベルの意思決定者が理解するのが早ければ早いほど、サイバーセキュリティへの適切な投資と資金調達の面で顕著な進展が見られるだろう」(パンディ氏)
CISOの見通しは、進化するサイバーセキュリティの脅威や組織の優先事項、規制の変更、職務の課題に対処するための対策の有効性などの要因によって左右される可能性が高い。
「ただ将来の予測は難しく、仕事量やストレスレベルが減ることはない。そのため、今後もストレスが増加する可能性がある」(ジョーンズ氏)
(注1)CISO salaries are up, but growth is slowing(Cybersecurity Dive)
(注2)State of the CISO, 20232024: Benchmark Report is Live(IANS)
関連記事
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。