CIOとCISOはなぜ対立してしまうのか 両者の役割に根差す構造的な理由：CIOとCISOの関係を改善する5つの方法【前編】

リスクを最小化して成果を出すに当たり、CIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）の協力体制は重要だ。だが両者はしばしば対立する。それは人間性に起因する問題ではなく、構造的なものだ。

[Johna Till Johnson，TechTarget]

　事情を知らない人が見れば、いずれも技術職であるCIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）は相互に助け合うのが自然なことだと思うだろう。しかし現実はそうでもないことを、CIOはよく知っている。

　両者の関係改善は、ビジネスリスクを最小化し、目標の達成を目指すに当たって重要なことだ。そのためにはソフトスキル、つまり他の経営幹部や従業員とのコミュニケーション、そして相互理解が必要となる。

　本稿はCIOとCISOの関係における特徴や典型的な報告体制、関係を改善するための取り組みを紹介する。

CIOとCISOの対立、その根本的な理由

併せて読みたいお薦め記事

セキュリティ関連の注目記事

• 「サイバーセキュリティ予算」を率先して投じるべき4分野とは？
• ROIを高める「サイバーセキュリティ予算」の使い方“3大ステップ”
• 重要システムを1日で復旧させた敏腕CIOが明かす「ランサムウェア対策のヒント」

　CIOとCISOは、しばしば互いに反感を抱き、その気持ちを敵対心へと発展させてしまう。このことが企業の不利益につながる可能性がある。これはCIOやCISOの役割を担う人の人間性が原因なのではなく、むしろ2つの役割の間にある根本的対立によるものだ。

　ITを使ってビジネスの成果を生むことがCIOの仕事だ。一方でCISOは、ITによって起こり得るリスクを低減させることを仕事とする。言い換えれば、CIOの仕事は「イエス」と言うことであり、CISOの仕事は「ノー」と言うことだ。

　CIOは、自社へのシステム導入でコストをかけすぎたり、約束通りに本番環境に展開できなかったり、といった失敗をしたら解雇される可能性がある。CISOは、自分の失敗か否かを問わず、会社が深刻なセキュリティ侵害を受けたら解雇される可能性がある。つまり、CIOの活動がCISOの失職の原因を作る可能性がある。

　CISOの立場から状況を見ることで、CIOは両者の関わり方をより良いものに変えられるだろう。

CIOとCISO、理想的な報告体制は

　CIOとCISOの間にある緊張状態を緩和する方法の一つは「報告体制」の構築だ。企業にとって最もうまく機能する報告体制を取り入れるといいだろう。

　一般的にCISOはCIOの直属組織にいて、有事はCIOに報告する。だがCISOがCIOに報告をする体制は理想的ではない。上司であるCIOが何かをしようとしているのに、直属の部下であるCISOがそれを望まない場合、どちらの考えが優先されるかは考えるまでもない。

　では誰に報告すればいいか。妥当な報告先はCEO（最高経営責任者）だろう。それ以外にはCRO（最高リスク責任者）、CLO（最高法務責任者）、CFO（最高財務責任者）など、技術的なリスク判断ができ、全社のリスクアセスメント（リスクの特定、分析、評価という一連のプロセス）を職務とする者が候補になる。

　「良い（good）」「より良い（better）」「最も良い（best）」という観点から言えば、小さな企業であったとしてもCISOが在籍しているのは良いこと（good）だ。そのCISOが属する組織は、指揮命令系統においてCIOの数段下ではなく、CIO直下の方がより良い（better）。最も良い（best）のは、CISOの直属の上司がCIOではなく、会社の経営幹部であることだ。

---

　中編は、CIOとCISOが良好な関係を構築する5つの方法のうち、「CISOを『直属の部下』ではなく『同僚』として接する」「『リスク』を議論の軸にする」を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。