CIOとCISOはなぜ対立してしまうのか：関係改善に役立つ取り組み6選

生成AI活用が企業で加速する中、IT推進を担うCIOと、リスク管理を担うCISOの対立が顕在化する企業がある。あるITコンサルティング企業のCEOが、対立を改善するための施策を6つ紹介する。

[Johna Till Johnson, Harriet Jamieson，TechTarget]

　「生成AIを使ってビジネスを加速させたい現場」（最高情報責任者、CIO）と、「技術がもたらすリスクを軽減したいセキュリティ部門」（最高情報セキュリティ責任者、CISO）――。AI活用が爆発的に広がる中、企業内でこうした対立が表面化する企業がある。

　日本企業では専任のCISOがそれほど多くなく、CIOや情報システム部門長が兼任しているケースもある。しかし、「ビジネスの推進」と「セキュリティの保守」という対立しがちな立場の関係改善は普遍的なテーマだ。そして、両者の関係を改善することは、企業の経営リスクを最小化し、ビジネス目標を達成するための鍵となる。

　ITコンサルティング企業Nemertes ResearchのCEO兼創業者であるジョナ・ティル・ジョンソン氏は、「IT推進」と「リスク管理」という本質的に衝突しやすい役割を両立させ、AI時代の脅威に立ち向かうための6つの方法を紹介する。

CIOとCISOは“構造的に対立”する

併せて読みたいお薦め記事

セキュリティの関連記事

• 社内SOCとMDRを徹底比較　セキュリティ体制の最適解は？
• セキュリティ対策評価「★4」を取れる？　新たな取引条件「SCS評価制度」が波紋

　ジョンソン氏によると、CIOとCISOの対立構造は個人の性格や相性の問題ではない。各役割が対立を招く構造を生み出している。

　CIOの任務は「テクノロジーを通じてビジネスを推進すること」であり、いわば「Yesと言う役割」だ。一方CISOは、「テクノロジーが導入するリスクを軽減すること」であり、「Noと言う役割」になりやすい。

　さらにこの対立を深刻化させるのが、「責任の非対称性」だ。CIOは、「技術の実装に失敗した」「コストが超過した」「期待通りの成果が出なかった」といった場合、評価が下がる恐れがある。CISOは、企業が深刻なデータ侵害に遭ったり、本人に落ち度がなくとも米証券取引委員会（SEC）から起訴されたりすれば、評価が下がる恐れがある。つまり、「CIOの行動が、CISOの評価を左右する」構造になっている。

理想的な“レポートライン”を作る

　企業の中には、CIOとCISOの緊張関係をレポートラインの構造で緩和しようとしているところがある。この構造についてジョンソン氏は、「CISOがCIOの配下にいる構造は理想的ではない」と指摘する。「ボス（CIO）がやりたいことを部下（CISO）が否定した場面で、どちらが勝つかは火を見るより明らかだ」（同氏）

　インシデント発生から封じ込めまでに要する時間を調査したNemertes Researchの調査によると、「封じ込めに最も成功している企業」は、「CISOがCIOではなく、CEO、最高リスク責任者（CRO）、最高法務責任者（CLO）、CFO（最高財務責任者）といったリスク全体を管掌する役員に直接報告している組織」だったという。

CIOとCISOの関係改善に役立つ「5つのソフトスキル」

　CIOの立場からCISOとの関係を改善し、連携を強化するためには「5つのソフトスキル」が必要だとジョンソン氏は指摘する。

1．CISOを「対等なパートナー」として扱う

　CISOがCIO配下であったとしても、「対等な同僚」として扱う。ジョンソン氏によると、CIOに登り詰める人物は他者の管理に興味を持つ傾向があるという。しかし、「手綱を緩めて優秀な同僚に自律性を与えることが重要だ。命令ではなく提案をベースにし、CIOの好みではなく「ビジネスに合致した目標」をCISO自身に設定させるべきだ」と話す。

2．議論の軸を「技術」から「リスク」に変換する

　ジョンソン氏によると、CIOは議論する際のテーマを「テクノロジー」にシフトさせがちだという。しかし同氏は、「CISOとの議論ではそれはお薦めしない」と話す。議論のテーマを、経営上のリスクに寄せることが大切だという。

　CISOやセキュリティチームが技術を深く把握していると信頼し、リスク評価のオーナーシップを委ねる。「なぜなら、その評価が間違っていたときに評価が下がるのはCISOなのだから」（ジョンソン氏）

3．AI時代の脅威に対して「共闘関係」を結ぶ

　AIはサイバーセキュリティの脅威を再定義し、CISOの役割そのものを変えつつある。レポートラインに関係なく、CIOとCISOが協調関係を結び、AI駆動型のサイバー攻撃に立ち向かうことは、今や死活問題だ。AIガバナンスが両者にとって「共通の最優先事項」であることを認め、協力していくことが肝要だ。

4．セキュリティチームを「企画の最初」から巻き込む

　「重大なIT決定が、CISOに知らされないままIT部門だけで決められてしまった」という経験を聞くことがあるとジョンソン氏は話す。そこでNemertes Researchは、CIOとCISOの関わり方の度合いを以下4つのモデルに分類している。

Unprepared（未準備）

　改善の余地あり。ITやビジネス側で何が起きているかを、セキュリティチームが自ら「追いかけ回して」探さなければならない状態。

Reactive（反応的）

　CISOとして、IT部門とのコミュニケーションは取れている。ビジネス側の情報がほしい場合はセキュリティチームが取りにいかないといけない。

Proactive（先見的）

　新しいイニシアチブが「動き始めた後」、ビジネスとITの双方が、定期的にセキュリティチームへ通知する状態が作られている。

Anticipatory（予測的）

　最高レベル。ビジネスもITも、新しい施策を「評価・検討する、意思決定前の段階」から、CISOとセキュリティチームを巻き込んでいる状態 。

　ジョンソン氏は、CIOと配下の部門をAnticipatoryに位置付けるよう薦める。これにより、CISOとのコミュニケーション不足による手戻りを防ぎ、IT戦略とセキュリティ戦略を完全に同期させることができる 。

5．カジュアルなコミュニケーションを組み合わせる

　定期的な進捗共有といった「公式なブリーフィング」だけでなく、「インフォーマルで、アジェンダのない交流」も大切だとジョンソン氏は話す。

　あるCISOは、毎週火曜日の朝に温かいコーヒーとお菓子を持ち寄り、アジェンダを一切固定しない気軽な集まりを主催していたが、それが1週間で最も価値ある会議になっていたという。こうしたつながりの醸成は、チームのストレスを軽減するためにもリーダーに不可欠な経営要素だ。

6．事業計画を共同で作る

　互いの専門領域や投資戦略を踏まえて、協働で事業計画を作ることも有用だ。

　CIOが大規模なERPの更新を提案するなら、そのシステムを安全に保つためのセキュリティ技術の予算も含めて計画し、経営層にはその投資が重要な理由も合わせて説明できるようにする。CISOが新しいセキュリティツールを導入したい場合は、それによってシステム障害チケットがどれだけ減るか、従業員の満足度がどれだけ向上するかという「事業側のメリット」を追跡して提示する。