CIOがCISOと「対等に議論」するためのヒント：CIOとCISOの関係を改善する5つの方法【中編】

CIO（最高技術責任者）とCISO（最高情報セキュリティ責任者）は、お互いの役割の違いから利益相反が発生しがちだ。良い関係を保つために、互いの意見を尊重して前向きな議論を促すヒントを探る。

[Johna Till Johnson，TechTarget]

　前編「CIOとCISOはなぜ対立してしまうのか　両者の役割に根差す構造的な理由」は、CIO（最高技術責任者）とCISO（最高情報セキュリティ責任者）に起こりがちな対立と、CISOにとって望ましい「報告体制」について紹介した。中編は、CIOがCISOと良好な関係を構築するための5つの方法のうち「CISOを『直属の部下』ではなく『同僚』として接する」「『リスク』を議論の軸にする」を紹介する。

方法1．CISOを「直属の部下」ではなく「同僚」として接する

併せて読みたいお薦め記事

セキュリティ関連の注目記事

• 「サイバーセキュリティ予算」を率先して投じるべき4分野とは？
• ROIを高める「サイバーセキュリティ予算」の使い方“3大ステップ”
• 重要システムを1日で復旧させた敏腕CIOが明かす「ランサムウェア対策のヒント」

　CIOがCISOとの良好な関係を構築する方法の一つは、CISOが直属の部下だとしても「同僚」として接することだ。だがCIOにとって、これは難しいことかもしれない。CIOまで昇進するような人物は「タイプA行動パターン」（注）の傾向を持ちがちで、組織のあらゆる側面をコントロールしたいと考える可能性が高いためだ。だが部下への統制を緩め、有能な同僚により大きな自主性を与えることはできる。

※注　米国の循環器内科医マイヤー・フリードマンらが提唱した、虚血性心疾患の危険因子になり得る性格的傾向および行動パターン。競争心や攻撃性が強く、せっかちといった特徴を持つ。

　相手を「直属の部下として」扱うのではなく、「同僚として」扱っていることを伝える小さな振る舞いは何千とある。もしCIOがCISOから業務報告を受ける体制を取っているのであれば、報告を受けない体制を想像してみる。ディスカッションに加わるよう誘ってみる。命令してはいけない。要求ではなく提案をする。自分の希望に併せた目標設定ではなく、ビジネスに合った目標設定をするよう促す。ことによると、このアプローチはとても効果的な可能性がある。CISOのみならず、直属の部下全員に試してみたくなるかもしれない。

方法2．「リスク」を議論の軸にする

　しばしばCIOは、あらゆる議論を技術の話に展開させようとする。CISOとの会話では、それを避けた方がいい。むしろ話題は全て「企業が持つリスク」に振り向け、議論を促す方がいい。CISOが話す内容から、

• 自社にどのようなリスクが発生するのか、またはどのようなリスクが軽減するのか
• それは運用のリスクなのか、それとも技術面のリスクや風評リスクなのか
• そのリスクはどの程度の蓋然（がいぜん）性があり、どの程度深刻なのか

などを把握できる。

　CISOが技術についてしっかりと把握していて（少なくともセキュリティチームがしっかりと技術について把握していて）、それを上司であるCISOに明確に伝達できていることを前提として考えよう。CIO自身がこれまで何度もリスク問題を扱ってきたのだとしても、CISOにリスクアセスメント（リスクの特定、分析、評価という一連のプロセス）の主導権を与えることが望ましい。このリスクアセスメントが間違っていた場合、責任を取るのはCISOだということは常に覚えておこう。

---

　後編は、残る3つの方法「重要な決定にCISOやセキュリティチームを関与させる」「『形式張らない関わり方』と『形式的な関わり方』の両方を取り入れる」「一貫した事業計画を作成する」を紹介する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。