CISOと取締役会の連携の力

今日、CISOは経営幹部の一員として定着し、取締役会とかつてないほど緊密に連携しています。調査では、CISOの82%がCEOの直属になっており、2023年の47%から大幅に増加したこと、さらにCISOの83%が取締役会議に「割と頻繁」または「ほとんどの場合」に参加していることが明らかになりました。今年のSplunkの『CISOレポート』では、CISOの役割が拡大した背景、CISOが予算と方針について影響力を高めることのできる領域、取締役会が組織のセキュリティ態勢に対する理解を深めることのメリットについて考察しています。

明るい話題としては、CISOと取締役会が一部の重要な問題について共通の認識を持っていることが挙げられます。機密情報を保護することの重要性や、リーダーシップスキルを習得したり強化したりすることの必要性については意見が一致しています。 

とはいえ、この両者の関係は始まったばかりで、まだ完全にお互いを理解しているわけではありません。驚くことではないかもしれませんが、CISOはビジネスリーダーとしての役割を拡大する中でいくつかの「成長の痛み」に直面しています。たとえば、セキュリティプログラムの戦略的目標の設定におけるCISOと取締役会の関係について、61%のCISOが「とても良好」または「極めて良好」と評価しているのに対して、取締役員で同様に評価したのは43%にとどまりました。 

しかし、この問題は克服することができます。CISOと取締役会の間にいくつかの認識のずれがあるのは確かですが、今年の『CISOレポート』では、その溝を埋め、CISOが取締役会の信頼を獲得してセキュリティ目標を達成するためのベストプラクティスを紹介しています。

優先課題、スキル、KPIに関する溝を埋める

CISOと取締役会の間で優先課題についての認識が一致しないまま関係を築いていくと、そのずれが次第に大きくなっていく可能性があります。 

こうしたずれが生じる大きな要因のひとつは、CISOと取締役会のバックグラウンドが大きく異なることです。CISOは本質的に技術者であり、58%が、時間の多くを自身のチームとともに、技術の選定、導入、運用に費やしていると回答しています。対照的に、取締役員では52%が、CISOの主な仕事はビジネスの促進だと考えています。また、CISOの最重要成功指標として、CISOの多くがセキュリティインシデントの影響の低減を挙げる一方で、取締役員の多くはセキュリティ投資のROIを挙げました。

では、この溝を埋めるためにCISOに何ができるでしょうか？取締役会からの信用と信頼を獲得するには、CISOとしての優先課題、目標、業務内容が組織の収益やビジネス目標にどのように結び付くかを考える必要があります。そして、セキュリティ指標の向上がビジネスにプラスになることを取締役会に明確に示すことが重要です。そうすることで、セキュリティ目標が組織のミッション達成に貢献することを証明し、必要なリソースと支援を得やすくなります。 

「取締役会」にわかりやすく説明することが予算獲得の鍵を握る

CISOが身に付けるべき最重要スキルは、適切な予算を獲得する能力です。しかし、イニシアチブ推進や目標達成に十分な予算が割り当てられていると回答したCISOは29%にとどまりました。予算が不足していると、当然、組織を保護する能力が低下することが懸念されます。この点は、サイバーセキュリティイニシアチブをビジネス成長のイネーブラーとして位置付ける良い理由となります。 

取締役会は、セキュリティ態勢の強化よりもビジネスの成長を重視しています。そのため、CISOは、セキュリティイニシアチブがリスク指標の改善にとどまらず、ビジネス全体にどのようなメリットをもたらすかをよく考える必要があります。セキュリティソリューションやセキュリティのベストプラクティスを導入しない場合の潜在的なコストや直面するリスクを明確にすることが大切です。レポートでは、CISOがセキュリティイニシアチブをROIの観点で説明して取締役会にその重要性を理解してもらい、十分なセキュリティ予算を確保するための方法を紹介しています。 

さまざまな状況において、CISOにはほとんど選択肢がありません。予算の削減は、たとえわずかな額であっても、深刻な結果を招く可能性があります。実際、18%のCISOが、過去12カ月間に、予算が削減されたためにビジネスイニシアチブの支援を中止せざるを得なくなったことがあると明かし、64%が、支援の欠如がサイバー攻撃につながったと回答しています。

CISOと取締役会の連携強化がもたらすメリット

しかし、過度に心配する必要はありません。成功への道筋は明らかです。CISOが時間をかけて取締役会と強力な関係を築けば、素晴らしい結果がもたらされます。取締役会と良好な関係を築いているCISOは、そうでないCISOと比べて、以下の点を含む多くのメリットを得ています。

• セキュリティチームと取締役会の間で優先課題が整合している(取締役会と良好な関係を築いているCISOでは86%、築けていないCISOでは59%)
• 必要な予算を確保できる(同69%、57%)
• 取締役会がサイバーセキュリティを深く理解している(同62%、46%)

どのような関係でも言えるように、大切に育てることが大きな実を結びます。CISOに求められるのは、アプローチを再考して取締役会と良好な関係を築き、共に新たな課題に取り組み、イノベーションを推進することです。

ぜひSplunkの『CISOレポート』をダウンロードして、CISOと取締役会の間にどのような認識のずれがあるのか、それを解消して強力な関係を築き、目に見える成果を達成するために何ができるかをご確認ください。 

このブログはこちらの英語ブログの翻訳、高山 慶子によるレビューです。