技術リーダーが社内で孤立しない方法とは やるべきことは3つある

サイバーセキュリティは重要な経営課題だと言うことが広く認識されてきた。だが、必要なリソースを実際に確保できるかどうかは最高情報責任者（CIO）の手に掛かっている。

[Lindsey Wilkinson，CIO Dive]

　広く報じられたサイバーインシデントやエスカレートする脅威、連鎖する影響を受けて、経営幹部の間ではセキュリティとレジリエンシーに関する意識が高まっている。これまでの対応では不十分であり、危険な状態に置かれているのではないかという意識だ。

技術リーダーは何ができるのか

　経営幹部にサイバーセキュリティの必要性を強く訴える必要が少なくなってきたのは朗報だ。だが技術リーダーにはまだするべきことが3つある。何だろうか。

　その3つとは、現状の把握、ギャップの発見、価値の提示だ。

　カリフォルニア州サンタモニカ市のCIO（最高情報責任者）を務めるフェローズ・メルチーヤ氏は、2024年8月14日に開催された「CIO Dive」のライブイベントで次のように述べた（注1）。

　「幸か不幸か、セキュリティとテクノロジーへの投資をめぐる議論は比較的容易になりつつある」

　IT部門の意思決定者の10人に9人近くが、2025年はセキュリティ予算が増加すると予想した。2024年5月に発表されたETRの調査によると（注2）、そのうち14％は少なくとも15％の予算増加を見込んでいる。サイバーセキュリティは企業のスキル向上の取り組みにおける最優先事項であり（注3）、生成AIに関する計画の重要な要素でもある（注4）。

　メルチーヤ氏は、2024年7月にサンタモニカ市のCIOに着任した。それ以前はアリゾナ州グレンデール市でCIOとCISO（最高情報セキュリティ責任者）を兼任しており（注5）、グレンデール市での4年間の在職中に数カ月にわたって発生したインシデントを受けて、セキュリティのベストプラクティスへの投資の価値と必要性が明らかになったと語った。

　グレンデール市が狙われた理由はこうだ。2023年に同市でナショナルフットボールリーグ（NFL）の第57回スーパーボウルやテイラー・スウィフト氏による「Eras Tour」の公演、ビヨンセ氏による「Renaissance Tour」が開催された。メルチーヤ氏によると、多くのファンや観光客が押し寄せたことで、標的となりやすい環境が生まれ、地元の公共サービスを狙ったサイバー攻撃が市内で発生したという。そのため市の上層部は警戒を強めていたようだ。

　大半のCIOは、不十分なセキュリティが現実にもたらす影響について深く考える必要はない。経営幹部はリスクに詳しくなってきているが、サイバー投資の価値を示し、それを最大化するのは依然として技術リーダーの役目だ。

　「運用の回復力（operational resiliency）と、それを支える技術の必要性は公共部門であろうと民間部門であろうと変わらない」（メルチーヤ氏）

　メルチーヤ氏のいう運用の回復力とは、組織が日常業務を中断させることなく、さまざまな予期せぬ障害やリスクに適応し、迅速に対応・回復できる能力のことだ。システムやプロセスの強化、適切なリスク管理、バックアップや復旧計画の整備を含む概念だ。

やるべき3つことの具体的な内容は？

　サイバーセキュリティへの意識と注目が高まっていても、リーダーたちは依然としてリソースを最大限に活用する責任を負っている。

　メルチーヤ氏は「1ドル単位で支出に注意を払う必要がある。私の考えでは、その価値を最大化する秘訣（ひけつ）などはない」と述べた。まずはビジネスが何を必要としているのかを現実的に考えることから始まるという。

　「自分たちが保有する資産に目を向けて、それらが何を提供しているのかを確認してほしい。なぜならば、技術者である私たちは新しい技術に魅力を感じ、夢中になってしまう傾向があるためだ」（メルチーヤ氏）

　新しい技術を導入すべきタイミングと場面がある。だがそれが自動的に次の一手になるべきではない。ツールとユースケースを照らし合わせることで、ギャップやアプリケーションが乱立していないかどうかを見つけ出すことができる。このプロセスは、新しいツールや技術が必要かどうかを判断する助けにもなる。

　「多くのことは、基本的なサイバーセキュリティの衛生（ハイジーン）管理によって対処できる」（メルチーヤ氏）

　経営幹部が目標を策定する一方で、技術部門のリーダーは、組織の技術スタックを次のレベルに引き上げる方法を見付ける責任を負う。ときには、CIOが指揮を取り、社内文化を転換しなければならないこともある。

　経営幹部との関わり方はさまざまで、市場の変化や課題を強調したり、人間関係を築いたりする方法がある。メルチーヤ氏が「変化に対する消極性」と名付けた古い考え方を持つ組織が方針や慣行を更新する場合、より強い説得が必要となる。

　「予算の話し合いに戻り、投資を求める際には教育が非常に重要だ。なぜなら、経営幹部がサイバーセキュリティ予算の背景を理解していることになるからだ」（メルチーヤ氏）

　また、投資をROI（投資利益率）分析に結び付けることで、より多くのリソースを求める強い根拠を示すことができる。技術リーダーはツールや機能がどのように侵害を防止し、リスクを軽減し、復旧を早めたかを明確に理解し、説明するよう努めるべきだ。

　「各組織には、それぞれの運営環境に応じた機会があり、それを実行しなければならない。しかし、その利益を示すためには時間をかけて取り組む必要がある。そうすることで、ビジネスパートナーがあなたの投資がどんな成果をもたらしているのかを理解できるようになる」（メルチーヤ氏）

出典：3 CIO lessons for maximizing cybersecurity investments（CIO Dive）
注1：When the Bill Comes Due: How to Keep IT Costs in Check（CIO Dive）
注2：Growing Cybersecurity Budgets and Security Vendor Sprawl Ahead of RSA Conference （ETR）
注3：Cyber, AI and data dominate upskilling priorities, Skillsoft finds（CIO Dive）
注4：How CIOs can infuse security into generative AI adoption（CIO Dive）
注5：How CIOs set the pace of generative AI adoption（CIO Dive）