企業をむしばむ深刻な病理 「なんちゃってCIO／CISO」が害悪すぎる理由：セキュリティ担当者生存戦略

IT・セキュリティ強化に向けてCIO／CISOを置くことは、一見前向きな動きに思えます。しかし実務や知識の伴わない肩書だけの役職を置くのは、企業に思った以上の不利益を生じさせます。今回は筆者が経験した悲惨なエピソードを紹介しましょう。

[木戸啓太，ITmedia]

　企業がITやセキュリティ投資を進める中で、「肩書だけのCIO（最高情報責任者）／CISO（最高情報セキュリティ責任者）」を置いて体裁を整えるケースが増えています。

　しかし、いたずらに意思決定者を置いたところで知識や意思決定力を伴わなければその安心感は幻にすぎず、かえってリスクを拡大させる悪循環を招きます。本稿では、そのような“なんちゃって肩書”が生む課題を具体的に描き出し、経営と現場に潜む構造的問題を明らかにします。

筆者紹介：木戸啓太（バリュエンステクノロジーズ 執行役員 CIO / CISO コーポレートIT部 部長／コーポレートエンジニア）

NetworkEngineer、ServerEngineerを経て、外資系ベンダーでSIer及び社内システムEngineerを経験。その後、freee株式会社に確実なIPO実現のため、コーポレートIT部門の立ち上げの責任者として参画。同社では、ITEngineerも務めながらCSIRTも兼務し、セキュリティ整備を実施。現在は、バリュエンステクノロジーズ株式会社の執行役員CIO/CISO、情報システム部長/コーポレートエンジニア。また、他社での業務委託やIT顧問なども担いISMSやPマーク取得〜更新、監査対応等も対応。

なんちゃってCIO／CISOの設置が“思った以上に害悪”なワケ

　デジタル化が進んだ昨今、企業にとってITやセキュリティ投資は事業継続と成長を左右する重要課題です。クラウドサービスの普及やテレワークの浸透、そしてサイバー攻撃の高度化といった潮流に対応するために、多くの経営層は「ITやセキュリティをどう位置付け、どう投資すべきか」という課題に直面しています。

　しかし投資の金額やツール導入の有無だけで成否は決まりません。むしろ鍵となるのは意思決定の質です。そしてその質を左右するのが、組織におけるITやセキュリティ部門の地位と発言力です。

　多くの企業がCIO／CISOといった役職を設けています。一見すると前向きな動きですが、ここに大きな落とし穴があります。肩書だけで役職を設置し、実務や知識の伴わない人物を据えてしまう「なんちゃってCIO／CISO」という現象です。

　筆者は情報システム部門の立ち上げから人材育成、そしてIPOまで経験してきました。その過程で実感したのは、この「なんちゃって肩書」が組織に深刻なリスクと悪循環をもたらすという現実です。今回はこれがいかに害悪かを解説しましょう。

　営業畑出身でITの実務経験がない幹部がCIOに就任するケースは典型的です。この他、開発経験はあるがセキュリティの原理やリスクマネジメントに関する体系的知識を持たない人物がCISOを名乗ることも珍しくありません。極端な例では、経理部長が兼務する「名ばかりCIO」も存在します。

　こうした人材が意思決定を担うと、現場との対話は表層的になります。エンジニアやセキュリティ担当者が課題を説明しても、背景や本質を理解できず、判断は「何となく」「他社もやっているから」といった感覚的なものに傾きます。本当に必要な投資が後回しにされ、逆に効果の薄い施策にリソースが投じられてしまうのです。

　知見不足は意思決定力の欠如につながります。課題に直面しても「もう少し検討してから」「現場で決めてほしい」と判断を先送りにしがちです。専門家との議論が深まらず、決断が曖昧（あいまい）なまま時間が過ぎ、結果として組織全体の方向性がぶれ、投資の優先順位やリスク対応の方針が宙に浮きます。

　さらに責任の所在も曖昧になります。形式上はCIO／CISOが責任を持つはずですが、実際には現場に丸投げされるため、いざ問題が起きても「誰が決めたのか」「なぜそう判断したのか」が不明確となります。説明責任が果たされず、組織としての信頼性が揺らぎます。

現場がCIO／CISOの“新卒教育”を担う愚弟的な悪循環

　筆者自身の過去の経験として、IT未経験のCIO／CISOの意思決定を支援するだけでなく、まるで新卒社員に接するように基礎から教える羽目になったことがあります。クラウドの仕組みやセキュリティの基本、業務システムの流れ――本来であれば戦略設計を担うべき立場の人に、一から技術や業務のキャッチアップをさせたのです。

　その中には「クラウドとは何か」「ゼロトラストとは何か」といった初歩的な説明を繰り返す場面もありました。日々の業務に加え、基礎講座のような解説を上司にしなければならず、現場の負担は増す一方でした。

　しかし現場を評価するのはその未経験者側であり、長年経験を積んできたベテランである自分が逆に評価を受けるという矛盾した状況もありました。結果として組織は全く回らず、現場も疲弊します。これこそ筆者が考える「愚弟的な悪循環」です。

　「愚弟的な悪循環」とは、知識も経験もないのに上に立ち、経験豊富な者が下から支える構図を指します。上下関係が逆転することで現場はモチベーションを失い、組織の力は大幅にそがれていきます。これは一企業の問題だけでなく多くの組織で見られる共通の病理です。

実際に見聞きした“なんちゃって肩書”の実態

　“なんちゃってCIO／CISO”の存在は個人の能力不足だけでなく、組織全体を長期的にむしばみます。

　短期的には、誤った判断や先送りが原因で重大な事故や情報漏えいのリスクが高まります。ひとたびインシデントが発生すれば、その影響は金銭的損失だけでなく顧客の信頼喪失やブランド価値の毀損（きそん）、法的責任の追及といった形で企業の存続を揺るがします。

　中長期的にはIT部門やセキュリティ部門が軽視される文化が定着します。優秀な人材は「自分の専門性が経営に反映されない」と見切りをつけて組織を離れていきます。その結果、技術的負債は積み上がり、システムは老朽化し、セキュリティホールは放置され、経営リスクは増幅していきます。

　さらにCIO／CISOが集まる場に参加するとその実態がよく見えてきます。「会社から言われて仕方なく肩書を持った」「話題作りのために就任した」といった声を耳にすることもよくあります。本人にとっても荷が重く、周囲は振り回され、組織は形だけの体制を維持するためにリソースを浪費します。

　最も恐ろしいのは、経営層が「CIO／CISOを置いたから大丈夫だ」と思い込むことです。形式だけの役職があることで、経営は「対応済み」という誤った安心感を抱き、実態を直視しなくなります。そして、未経験である本人は責任の重さに苦しみ、現場は上に説明するために余計な時間を費やし、経営は安心して思考停止する――こうして、本人や関係者、組織全てに悪循環が生まれ、組織を真の変革から遠ざけてしまうのです。

「いないよりマシ」ではなく、むしろ逆効果

　この悪循環がもたらす帰結は以下の3点にまとめられます。

• 誤った判断や先送りによって重大な事故や情報漏えいが発生するリスク
• 優秀な人材の流出と、それに伴う技術的負債の蓄積
• ITやセキュリティを「何となく」で扱う文化の固定化

　特に最後の「文化の固定化」は深刻です。形式的に肩書を置いたことで経営層は「もう対応済み」と安心し、実態を見直す機会を失います。この思考停止こそが最も恐ろしいリスクなのです。

　一部では「いないよりはマシだ」と考えられることもあります。しかし現実には、なんちゃって肩書の存在は本質的な改善を阻害し、混乱とリスクを増幅させます。役職が存在しなければ「いない」という現実を直視し、外部の専門家を活用するなど別の対策を検討できるでしょう。形式だけの役職があると「体制は整っている」という幻想に浸り、改革の機会を逸してしまいます。

　ITやセキュリティ部門の地位向上は形式ではなく実質で測られるべきです。肩書を設けることは出発点にすぎず、その役割を担う人材が本当にリーダーシップを発揮できるかどうかが問われているのです。

まとめと次回予告　人材育成へと視点を移す

　ITやセキュリティ投資を成功に導くためには、形式的な肩書ではなく、実質を伴った意思決定が欠かせません。“なんちゃってCIO／CISO”は組織を混乱させ、愚弟的な悪循環を生み出し、現場を疲弊させます。今こそ企業は肩書に頼るのではなく、知識と経験を備えた人材をどう育成するかを考えるべきです。

　外部から即戦力を招くことも一つの選択肢ですが、それだけでは持続的な強さは生まれません。真に必要なのは社内においてITと経営をつなぐ人材を計画的に育てることです。

　次回は「コーポレートエンジニア育成のポイント」について取り上げ、組織の基盤を支える人材をどのように育成し、悪循環を断ち切るかを具体的に解説します。