リスクを最小化して成果を出すに当たり、CIO(最高情報責任者)とCISO(最高情報セキュリティ責任者)の協力体制は重要だ。だが両者はしばしば対立する。それは人間性に起因する問題ではなく、構造的なものだ。
事情を知らない人が見れば、いずれも技術職であるCIO(最高情報責任者)とCISO(最高情報セキュリティ責任者)は相互に助け合うのが自然なことだと思うだろう。しかし現実はそうでもないことを、CIOはよく知っている。
両者の関係改善は、ビジネスリスクを最小化し、目標の達成を目指すに当たって重要なことだ。そのためにはソフトスキル、つまり他の経営幹部や従業員とのコミュニケーション、そして相互理解が必要となる。
本稿はCIOとCISOの関係における特徴や典型的な報告体制、関係を改善するための取り組みを紹介する。
CIOとCISOは、しばしば互いに反感を抱き、その気持ちを敵対心へと発展させてしまう。このことが企業の不利益につながる可能性がある。これはCIOやCISOの役割を担う人の人間性が原因なのではなく、むしろ2つの役割の間にある根本的対立によるものだ。
ITを使ってビジネスの成果を生むことがCIOの仕事だ。一方でCISOは、ITによって起こり得るリスクを低減させることを仕事とする。言い換えれば、CIOの仕事は「イエス」と言うことであり、CISOの仕事は「ノー」と言うことだ。
CIOは、自社へのシステム導入でコストをかけすぎたり、約束通りに本番環境に展開できなかったり、といった失敗をしたら解雇される可能性がある。CISOは、自分の失敗か否かを問わず、会社が深刻なセキュリティ侵害を受けたら解雇される可能性がある。つまり、CIOの活動がCISOの失職の原因を作る可能性がある。
CISOの立場から状況を見ることで、CIOは両者の関わり方をより良いものに変えられるだろう。
CIOとCISOの間にある緊張状態を緩和する方法の一つは「報告体制」の構築だ。企業にとって最もうまく機能する報告体制を取り入れるといいだろう。
一般的にCISOはCIOの直属組織にいて、有事はCIOに報告する。だがCISOがCIOに報告をする体制は理想的ではない。上司であるCIOが何かをしようとしているのに、直属の部下であるCISOがそれを望まない場合、どちらの考えが優先されるかは考えるまでもない。
では誰に報告すればいいか。妥当な報告先はCEO(最高経営責任者)だろう。それ以外にはCRO(最高リスク責任者)、CLO(最高法務責任者)、CFO(最高財務責任者)など、技術的なリスク判断ができ、全社のリスクアセスメント(リスクの特定、分析、評価という一連のプロセス)を職務とする者が候補になる。
「良い(good)」「より良い(better)」「最も良い(best)」という観点から言えば、小さな企業であったとしてもCISOが在籍しているのは良いこと(good)だ。そのCISOが属する組織は、指揮命令系統においてCIOの数段下ではなく、CIO直下の方がより良い(better)。最も良い(best)のは、CISOの直属の上司がCIOではなく、会社の経営幹部であることだ。
中編は、CIOとCISOが良好な関係を構築する5つの方法のうち、「CISOを『直属の部下』ではなく『同僚』として接する」「『リスク』を議論の軸にする」を紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...
YouTubeやTikTokの利用時間、20代以下ではテレビを圧倒 どれだけ差がついた?
YouTubeやTikTokでのコンテンツ視聴は購買行動に関係しているのか。PRIZMAが10代から30代...
ITmediaはアイティメディア株式会社の登録商標です。
