なぜCISOの立場は強くなったのか それでも足りないものは何か

最高情報セキュリティ責任者は経営幹部の一員でありながら報酬はさほど高くなく、強いストレスにさらされてきた。現在、報酬面で報われることは多くなってきたが、企業が彼らを引き留めるには他の問題も残っている。

[Sue Poremba，Cybersecurity Dive]

　複数の給与調査によると、組織で最も地位の高いセキュリティ幹部であるCISO（最高情報セキュリティ責任者）の収入は米国ではすでに数十万ドルに達した。

まだまだつらいCISOの立場

　人材関連のコンサルティングを営むFoushée Groupの「セキュリティとコンプライアンスに関する調査」によると（注1）、CISOの平均給与とボーナスの合計額は年間47万1638ドルだ（注2）。雇用期間によってはさらに20万ドルの報酬手当が加算される。CISOはどのようにしてこのような地位を獲得できたのだろうか。

　Foushée Groupのスティーブン・W・ウォーカー氏（パートナー）は「私たちが確認した限り、セキュリティリーダーについて全ての職種における年間の給与増加率は約4.1％だ」と述べた。

　この増加率は他の業界と比べて大幅に高いわけではないが、Foushée Groupが調査してきた20年以上の間、セキュリティの仕事における給与増加率は、他のポジションを上回る傾向があった。これは組織でセキュリティの重要性が高まったためだろう。

　サイバーセキュリティの問題は世界中の企業における最大のビジネスリスクとなっており（注3）、関心が高まった。企業はセキュリティへの支出を増やしており（注4）、セキュリティ部門は今後も拡大するコストセンターと考えられている。

　今日、セキュリティの専門家は企業内でより重要な役割を担うようになり、他のビジネスリーダーたちと共にテーブルに付くことができるようになった。

　「セキュリティ機能そのものが、ニーズに基づいて急速に発展した」（ウォーカー氏）

　その結果、給与が地位に追随した。だが、ウォーカー氏は固定給だという点を指摘する。固定給だからこそ、ボーナスが魅力的なものになる。企業の業績が良ければ、セキュリティ部門のトップもその成功を分かち合うことになる。

技術スキルが重要か、ビジネススキルなのか

　CISOがその地位に就くまでの道のりはさまざまだが、給与について見れば高度な技術スキルを持つ者が最も高い報酬を得ている。

　IANS ResearchとArtico Searchの調査によると（注5）、強固な技術的背景を持つCISOはビジネスリスク管理の背景を持つCISOよりも約15％高い収入を得ているという。技術的なスキルにアプリケーションセキュリティや製品セキュリティが含まれた場合、CISOは最高レベルの報酬を得るようになり、給与やボーナス、福利厚生と合わせると平均70万ドルになる。

　このような高い技術を持つCISOを手放さないことも企業にとって重要だ。企業はCISOの人材を社内に確保し続けるために、福利厚生や特典を提供したり、市場調整による昇給を実行したりする。

　IANS ResearchとArtico Searchの調査によると、多くのCISOは職務に関するストレスレベルの高さから転職を考えている。そのため、CISOを社内にとどめる施策は不可欠だ。

給与の透明性が違いを生む

　近年、多くの州で給与の透明性に関する法律が施行され（注6）、企業は求人広告で給与や報酬を開示することを義務付けられた。このことが、CISOの給与が平均よりも着実に上がった背景にあるのかもしれない。

　Bambenek Consultingのジョン・バンベネク氏（プレジデント）は次のように述べた。

　「人々は自分の価値をより簡単に把握できるようになった」

　CISOはCxO、つまり経営陣の一員になった。CISO自体がこのことに気が付き始めた。長い間、CISOはエグゼクティブもどきとして扱われたり、CIO（最高情報責任者）のチームの一員と見なされたりしていた。調査企業のOstermanの調査によると（注7）、現在も多くのCISOはCEOではなくCIOに報告しているが、このような扱いでは済まないことに気付いた。

　しかし現在では、CISOはCxOの正式メンバーとして歓迎されるようになり、地位に伴う報酬や特典を享受している。

　しかし、報酬だけで全てが解決するわけではない。CISOはいまだに彼らの価値を低く見積もるバイアスと戦い、不当に低い報酬に甘んじている。

　CISOの価値を正確に評価する際の課題の一つは、セキュリティが組織にとっての収入源ではないと見なされている現実だ。バンベネク氏は「経営陣はより少ない人員でより多くの仕事をこなそうとする」と述べた。CISOの高い給与はより多くのスタッフを雇わないことの見返りとも考えられている。

　より多くの仕事を求められることで、CISOには燃え尽き症候群の問題が生じる。CxOはまた、サイバーインシデントをめぐって絶えず変化する規制上の要求や法的な影響に対応できていないとして、CISOの責任を追及する。

　CISOの職務は変化し続けており、CISOの仕事に対する満足度は低下している。CISOが職を離れる可能性が高いため、企業は給与だけでなく、ワークライフバランスを含めた報酬を再考する必要に迫られている。

　「どの企業も、できる限り優秀な人材を確保し、維持したいと考えている」（ウォーカー氏）

出典：How CISO salaries are faring as businesses ask more of security（Cybersecurity Dive）
注1：Security and Compliance Compensation Survey（Foushee Surveys）
注2：The salary of a Chief Security Officer（Security Magazine）
注3：Cyber tops business risk for enterprises worldwide, report finds（Cybersecurity Dive）
注4：Tech spend to hit milestone as businesses react to AI security scare（Cybersecurity Dive）
注5：2023 CISO Compensation Benchmark Report（IANS Research）
注6：State Pay Transparency Laws: What’s Required Now and What’s Next?（Cooley）
注7：CISO Investment Priorities for Cybersecurity 2023（BlackFog）