事故率100％時代、セキュリティ担当に必要なのは「防御力」より「ビジネス感覚」：変わるCISOの役割

経営層の71％が事業目標のためならサイバーリスクを多めに受け入れるという調査結果が出た。CISOには今、技術力よりもビジネスへの深い理解が求められている。生き残るリーダーの条件と、防御一辺倒から脱却するための処方せんを提示する。

[Richard Livingston，TechTarget]

　Gartnerのシニアディレクターアナリスト、ウィル・キャンドリック氏によれば、サイバーセキュリティのインシデントは避けられないものだが、企業の存続を脅かすような脅威となることはまれだという。同氏は、同社の「2026 Security and Risk Management Summit」のセッションで、サイバーリスクに対する許容度の変化について論じた。

　「長期的に見れば、インシデントが発生する確率は100％だ」とキャンドリック氏は述べ、発生するかどうかではなく、いつ発生するかが問題なのだと付け加えた。しかし、ほとんどの場合、その影響は短期間で収束する。「その影響は痛みを伴い、即座に現れるかもしれないが、混乱を招くものの、通常は一時的なものにすぎない」

　長年、企業は深刻なデータ漏えいに見舞われてきたが、大半のケースで立ち直れている。Gartnerによれば、経営層は時折発生するサイバー攻撃に慣れつつあり、サイバーセキュリティインシデントに対する意識がこの現実に即して変化しているという。最近の調査では、取締役の71％がビジネス目標を達成するためなら、より大きなサイバーリスクを受け入れる意向があることが分かった。これはCISO（最高情報セキュリティ責任者）にとって、恐怖に基づいたセキュリティ対策への支出が減ることを意味しているが、同時に企業のニーズに合わせて自身の役割を近代化する機会でもある。本稿では、生き残るリーダーの条件と、防御一辺倒から脱却するための処方箋を提示する。

セキュリティによる足かせ

「サイバーセキュリティ」に関連する編集部お薦め記事

　セキュリティの目的はビジネスを守ることだが、一部のセキュリティ投資は不釣り合いなほどビジネスに害を及ぼすとキャンドリック氏は指摘する。

　サイバーセキュリティの費用対効果だけを見ると、厳しい制限を設けても攻撃者の侵入を防げなかった一方で、AI導入のようなイノベーションを妨げるビジネス上の摩擦を生んでいる、と経営層が主張するのは容易なことだ。

　「セキュリティを強化することが正解ではない。なぜなら、セキュリティの強化がビジネス成果の向上に直結するわけではないからだ」とキャンドリック氏は話す。「むしろ、セキュリティの強化は、ビジネスコストの増大、市場投入の遅れ、イノベーションの停滞、AIツールの陳腐化、官僚的な手続きの増加、過度な不安の扇動、そして生産性の低下を招くことになる」

　取締役会がセキュリティインシデントの不可避性を受け入れ、サイバーリスク管理よりも他のビジネス目標を優先するようになれば、セキュリティリーダーの予算や影響力は低下する可能性がある。一方で、この力関係の変化は、CISOの役割を企業の戦略的目標と再調整する好機でもあるとキャンドリック氏は述べている。

CISOの新たな使命

　Gartnerは、CISOの役割を全面的に転換することを提案している。今後、セキュリティリーダーには技術的な専門知識ではなく、ビジネスの洞察力を持って先導することが求められるという。

　「サイバーセキュリティの新たな使命は、攻撃の前後および最中で、ビジネスへの害と影響をより包括的に最小限に抑えることだ」とキャンドリック氏は言う。「どれだけ予算を投じても達成不可能な『完全な防御』を追求することとは対照的である」

　同氏が提案するCISOの業績評価指標には、「システムの停止時間の削減」「法的責任の限定」「冗長性の構築」「収益の向上」「コストの最小化」「ブランド保護」といった項目が含まれる。

　多くのCISOにとって、これはより広範な責任とリーダーシップスキルを意味する。サイバー防御からビジネスレジリエンス（回復力）へとマインドセットを切り替えるには、多少の慣れが必要だろう。サイバーセキュリティの制御を防御策であると同時に、トレードオフを必要とするビジネスコストであると再定義しなければならない。

　まず着手すべきこととして、キャンドリック氏は以下を推奨している。

• 利益を生み出すビジネスプロセスを特定する
• 自身の影響範囲を拡大する
• ビジネス上の懸念事項に主体的に対処することで、取締役会の共通言語を学ぶ

　「2028年までに、経営層で高い成果を出すCISOを差別化する主な要因は、ビジネスの洞察力になるだろう」（キャンドリック氏）