CIOとCISOはなぜ対立してしまうのか　両者の役割に根差す構造的な理由：CIOとCISOの関係を改善する5つの方法【前編】

リスクを最小化して成果を出すに当たり、CIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）の協力体制は重要だ。だが両者はしばしば対立する。それは人間性に起因する問題ではなく、構造的なものだ。

≫ 2022年01月06日 05時00分公開

[Johna Till Johnson，TechTarget]

CIOとCISOの対立、その根本的な理由

併せて読みたいお薦め記事

セキュリティ関連の注目記事

　CIOとCISOは、しばしば互いに反感を抱き、その気持ちを敵対心へと発展させてしまう。このことが企業の不利益につながる可能性がある。これはCIOやCISOの役割を担う人の人間性が原因なのではなく、むしろ2つの役割の間にある根本的対立によるものだ。

　ITを使ってビジネスの成果を生むことがCIOの仕事だ。一方でCISOは、ITによって起こり得るリスクを低減させることを仕事とする。言い換えれば、CIOの仕事は「イエス」と言うことであり、CISOの仕事は「ノー」と言うことだ。

　CIOは、自社へのシステム導入でコストをかけすぎたり、約束通りに本番環境に展開できなかったり、といった失敗をしたら解雇される可能性がある。CISOは、自分の失敗か否かを問わず、会社が深刻なセキュリティ侵害を受けたら解雇される可能性がある。つまり、CIOの活動がCISOの失職の原因を作る可能性がある。

　CISOの立場から状況を見ることで、CIOは両者の関わり方をより良いものに変えられるだろう。

CIOとCISO、理想的な報告体制は

　CIOとCISOの間にある緊張状態を緩和する方法の一つは「報告体制」の構築だ。企業にとって最もうまく機能する報告体制を取り入れるといいだろう。

　一般的にCISOはCIOの直属組織にいて、有事はCIOに報告する。だがCISOがCIOに報告をする体制は理想的ではない。上司であるCIOが何かをしようとしているのに、直属の部下であるCISOがそれを望まない場合、どちらの考えが優先されるかは考えるまでもない。

　では誰に報告すればいいか。妥当な報告先はCEO（最高経営責任者）だろう。それ以外にはCRO（最高リスク責任者）、CLO（最高法務責任者）、CFO（最高財務責任者）など、技術的なリスク判断ができ、全社のリスクアセスメント（リスクの特定、分析、評価という一連のプロセス）を職務とする者が候補になる。

　「良い（good）」「より良い（better）」「最も良い（best）」という観点から言えば、小さな企業であったとしてもCISOが在籍しているのは良いこと（good）だ。そのCISOが属する組織は、指揮命令系統においてCIOの数段下ではなく、CIO直下の方がより良い（better）。最も良い（best）のは、CISOの直属の上司がCIOではなく、会社の経営幹部であることだ。

　中編は、CIOとCISOが良好な関係を構築する5つの方法のうち、「CISOを『直属の部下』ではなく『同僚』として接する」「『リスク』を議論の軸にする」を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップ ERP