CISOに求められる3つの戦略的重点領域 Gartnerが提言：セキュリティニュースアラート

ガートナーはCISOが生成AIなどの新技術に対応するため、「ミッションとの整合」「イノベーションへの備え」「変化への柔軟性」といった3つの領域に注力すべきと提言した。これに向けてCISOは組織の不安定要素を明らかにする必要がある。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2025年7月23日、「ガートナー セキュリティ＆リスク・マネジメント サミット」において、CISO（最高情報セキュリティ責任者）が取り組むべき戦略的重点領域に関する見解を発表した。

　CISOは生成AIをはじめとする新技術への注目が高まる中で、組織におけるサイバーセキュリティ戦略の実効性を高めるため、「ミッションとの整合」「イノベーションへの備え」「変化への柔軟性」という3つの領域に注力する必要があるとした。

CISOは“組織の不安定要素”を注視せよ　燃え尽き症候群を防ぐには

　バイスプレジデントアナリストのリチャード・アディスコット氏は、企業が生成AIのような先端テクノロジーに積極的に投資する動きを強調しつつ、こうした取り組みに内在するサイバーリスクへの慎重な対応が求められると述べた。変革の推進には、現実に即した判断とデータに基づいたリーダーシップが不可欠と指摘している。

　アディスコット氏は、CISOが組織のミッションとセキュリティ投資との整合性を証明するためには、成果主導の評価指標（ODM）を活用し、リスクの現状と求められる保護レベルを明確にする必要があると説明する。

　ODMは取締役会や経営陣と保護水準に関する共通認識を形成するための基礎情報となり、透明性のある意思決定を支える役割を果たす。保護レベル合意（PLA）を通じて、望まれるセキュリティ水準の達成への投資額や対応範囲を正式に定めることが、戦略の実効性を高めるために重要だとした。

　イノベーションへの備えとしては、サイバーセキュリティ分野がAI導入の先駆けとなることを期待し、CISOがその推進役となるべきだと述べている。AIリテラシーの向上や、コード解析・脅威ハンティングなどの業務におけるAIの活用、データ保持ポリシーやリスク評価体制の整備を通じて、AI関連の投資に伴うリスクを低減する必要がある。こうした対応は、組織のAI戦略全体を下支えする基盤となる。

　CISOは、AIによって拡大する攻撃対象領域や内部脅威への理解を深めると同時に、複雑化する環境下で柔軟に対応する能力を求められている。バイスプレジデントアナリストのマーク・ホーヴァス氏は、CISOが技術的な潮流に対し受け身になるのではなく、期待の高まりがもたらす影響を適切に理解し、そのエネルギーを前向きな変化へと転換する力が必要だと述べた。組織内で発生する多数の施策や要請についても、動向を見極めることで効果的な判断が可能になる。

　CISOは組織内の不安定な要素に注視し、従業員の燃え尽きに対し警戒を怠ってはならないとされている。突然の変化や単調な作業の反復により主体性が損なわれる状況において、CISOはチームが自律的に行動し、課題解決に関与していると実感できる環境を構築することが求められる。その結果、メンバーは新たな技術や業務に前向きに取り組むようになり、組織全体の柔軟性と持続的な成長につながると説明されている。

　ガートナーは今回の発表を通じて、CISOが変化の激しい技術環境において現実に即した判断力と戦略的視点を備えることの重要性を示した。期待の高まりに翻弄（ほんろう）されるのではなく、実質的な価値を引き出す姿勢が今後これまで以上に求められる。