「明日から君がCISOだ」、さてどうする

CISOは社内の立ち位置が難しい。サイバーセキュリティの責任者だけでなく、社内の利害関係の調整者や一種の営業職としての役割も求められる。いざCISOになったとき、どのように動けばよいのだろうか。

[Sue Poremba，Cybersecurity Dive]

　CISO（最高情報セキュリティ責任者）の職を得るには、サイバーセキュリティ関連の資格や実務経験、学位など、多くの条件を満たさなければならない場合がある。

　だが、いったんCISOに昇進すると新しい役割に圧倒されてしまう。CISOを目指す人は、最初の数カ月を乗り切るプランを用意しておく必要がある。何に備えておけばよいのだろうか。

CISOになったらこれを実行すればよい

　「少なくとも直面しそうな主要リスクについて考え始め、それを出発点としてチームを作り、キーとなるステークホルダーを特定するべきだ」（BigIDのCISO、テイラー・ヤング氏）

　チームがまとまったら、計画していたことをいったん捨て去るのがよい。

　「新しい脆弱（ぜいじゃく）性が見つかったり、新しい技術が利用できるようになったりするため、優先順位は常に変化する。思い描いた通りに物事が進むことはない」（ヤング氏）

　サイバーセキュリティにおける物事の変化の速さを覚えておくべきだ。これは仕事に対する良い考え方やアプローチを身に付けるために重要だ。これまでセキュリティ対策で苦労してきた企業では、時には不公平だと思えるほど、CISOは救世主のように見られることがある。

　「誰もが（CISOとして）入社後、すぐに大きな成果を上げなければならないと考えている」と、RelativityのCSO（最高セキュリティ責任者）兼CIO（最高情報責任者）アマンダ・フェンネル氏は述べる。

　フェンネル氏は新任のCISOに対して、ゆっくりと時間をかけて、セキュリティとビジネスニーズとの整合性を学び、社内の誰と協力して基盤を構築することが最適なのかを見極めることを推奨する。

　「私は法務担当者と『恋に落ちた』。彼らはセキュリティ担当者が大好きだ。なぜなら、私たちはどちらもリスクを嫌うからだ」（フェンネル氏）

　このような人脈を早くから作っておけば、数年後にもその基礎が役立つ。多くの場合、法務担当者のような人々は、インシデント対応チームの重要な役割を担うことになる。

顧客の立場で考える

　着任して最初の数カ月は、通常、既存のチームからの現状報告が続くだろう。DelineaのCISO、スタン・ブラック氏はこう指摘する。新任のCISOがしばしば直面するのは、部門を超えた「『われわれ』対『彼ら』」の構図だ。これは部門間で共通点が欠如していることの弊害であり、成功の妨げになる。

　「優先順位を正しく判断するためには、まず顧客となること、そして自分の体験に耳を傾けることだ」（ブラック氏）

　エンジニアは通常、自分が開発する製品の対象となる消費者ではない。つまり、ユーザー体験や脆弱性が現れる箇所を直感的には理解できない。CISOは自社製品を消費者のように使うだけにとどまらず、顧客との関係構築が必要だと、ブラック氏は勧めている。

　聞き上手になり、顧客とのコミュニケーションラインを開き、そこから逆算して社内でパートナーシップを築いていくことが大切だとブラック氏は言う。

CISOはセキュリティのプロ、同時にビジネスマネジャーでもある

　CISOの役割が予想外の方向に変わることを覚悟しておかなければならない。ビジネスの優先順位を学ぶために顧客の支持者になることだ。セキュリティ技術の専門知識があればCISOの地位に就くことはできる。だが、すぐにビジネスオペレーションにフォーカスしなければならなくなる。

　CISOは多面的な仕事だとヤング氏は言う。営業職としてベンダーと直接仕事を進め、製品アイデアの開発を手伝い、第一に経営者、第二にセキュリティ担当者としてビジネスを推進して構築することになる。

　最初の数カ月間は、有能で信頼できるセキュリティチームを作ることを優先しよう。新任のCISOがあらゆるレベルの人間関係を構築している間でも、セキュリティチームは会社における日々のセキュリティ業務に集中できる。

　コミュニケーションが不可欠だ。どんなに優れた戦略や枠組みも、社内の人間が理解していなければ意味を成さなくなる。

　「皆が理解できるように戦略をまとめたつもりだったが、誰もそれを理解していなかった。全てが理解されるのに約1年かかった」とフェンネル氏は話す。

　セキュリティの文化や哲学を自分のものとして改善してチームの信頼を得た後も、半年後には再び変化が起きる。

　「セキュリティはシークレットサービスのようでなければならない」とヤング氏は言う。

　シークレットサービスは、大統領がどこに行こうとも、いつでも大統領を守れるように準備しておかなければならないのだ。

　それがCISOの目標だ。社内の人々がオンラインで何をしていようとも、確実に保護されるようにすることだ。しかし、アプローチは脅威の種類や防御担当者の能力によって変化し続ける。

CEOがCISOに求めるもの

　CISOは仕事を始めるに当たって、最初の数カ月間どのように動けばよいのか、自らの考えを持っているかもしれない。だが、CEOには別の目標がある可能性を忘れてはならない。

　RemediantのCEO、ラジ・ドディアワラ氏は、「チームを率いるという新しいスタートを切ったばかりのCISOは、最初の45〜90日間で、新しいポジションをより目的意識の高いものにできる」と述べている。

　ドディアワラ氏は、新任のCISOが移行期間中に次のようなステップを踏むことを提案している。

・保護すべき機密データや攻撃対象領域、チームの強みを知ることで、リスクを評価する
・ITセキュリティの全体的なコストを理解して、どこに脆弱性があるのかを把握する
・チームを強化して、セキュリティとITスタッフに対するコミットメントを示す

　CISOは企業のセキュリティの門番だ。社内の脅威の状況を知り、前任者がなぜうまくいかなかったのかを知ることは、新しいCISOが目標を設定し、プログラムを開発する際に役立つだろう。

　「仕事が快適になるまでには、時間がかかるだろう」とフェンネル氏は言う。

　「こうなるまでには約半年かかる。その間にまた新たなチャレンジが生じるだろう」（フェンネル氏、ヤング氏）

出典：Becoming a CISO: Tips on how to approach the first few months on the job（Cybersecurity Dive）