CIOとCISOはストレスの多い環境で業務を行っているため、時としてそれが両者の関係にさらなる負担をかけ、有益な成果の達成を妨げることもある。
私自身、CIOとCISOの両方を経験してきたので、この問題については両方の立場から直接的な経験がある。特に、CIOに報告することが多いCISOにとっては、この状況を緩和し、両者にとって実用的で健全かつ互いを尊重し合える関係にすることは難しい。そのためには、相手の役割におけるプレッシャーや優先事項、またパートナーの行動様式を理解する必要がある。
緊張関係に陥りやすい関係
CIOとCISOの間に摩擦が生じるのはなぜなのかを理解するには、それぞれの立場におけるプレッシャーや優先事項を考慮する必要がある。
CIO の役割は、経営陣や役員会から注目され、高い評価を受けるべき数多くの活動で満たされている。役員会や経営陣は、IT に関するあらゆる課題のトップに立つ CIO を求めている。
この課題、すなわち CIO の存在意義は、テクノロジーの活用を通じてビジネスの変革と成長を実現することである。企業内の主要な利害関係者は、テクノロジーを活用した変革と、これらのプラットフォームを通じた顧客満足度の向上を求めている。CIO は、これらの新しいデジタルソリューションを提供できる能力だけでなく、サービスの中断や障害による業務プロセスへの影響を最小限に抑える能力も問われる。
一方、CISO の使命は、外部からの脅威から企業を守ることにあります。確かに、CIO もこの問題に関心を持っているが、企業を守るために必要なトレードオフに関しては、ビジネス利害関係者からの圧力に直面することもある。
こうしたトレードオフは、CISOの職務と交差する難題であり、両者の優先事項の対立を浮き彫りにする。時間が経つにつれ、こうした状況や、その対処法や解決法が、両者の間で実際の摩擦を引き起こす可能性がある。この摩擦は、公の場で表面化する場合もあれば、同僚やCIO/CISO自身にはあまり知られていない場合など、表面化しない場合もある。
CIOとCISOの共通の圧力要因
成熟した企業では、当面の間はリスクを受け入れ、改善策は後回しにするしかない。脆弱性パッチの適用は、CIOとCISOの間に緊張関係が生じる一例である。
悪用された極めて重大な脆弱性の場合、CISOは直ちにパッチを適用することを望み、CIOも緊急性について同意見である可能性が高い。しかし、中程度のパッチの場合、CIOは本番システムへの影響を先延ばしにするようプレッシャーをかけ、パッチ適用を1週間、あるいは数か月間待つようCISOに要求する可能性がある。
デジタルカスタマーエクスペリエンスに影響を与えるプログラムについても、同様の緊張関係が存在する。例えば、新しい多要素認証機能には、顧客への新たな連絡が必要となり、場合によってはチャネルの一時的な混乱も伴う可能性があるが、ビジネス部門がそれを容認するのは難しいかもしれない。
あるいは、CIOとエンジニアリングチームは、ビジネス部門と協力して、APIプラットフォームを通じて新しい顧客向け機能を提供する場合もある。CISOの観点では、これらのAPIは適切に管理され、予期せぬデータ損失の要因とならないよう、侵入テストまで実施する必要がある。CISOはより厳格な管理を求めているが、CIOは原則的には同意しながらも、多くの場合短期間で機能を確実に提供することで、利害関係者の期待に応える必要がある。
インシデント管理も、緊張関係が生じやすい分野である。重大なサイバー攻撃や業務中断が発生した場合、CISOはリーダーシップを発揮し、しばしば「伝令役」として悪いニュースを伝えなければならない。当然ながら、CIOはすぐに報告を受けたいと考えるが、多くの場合、詳細は不明なままである。この初期段階では、答えよりも質問の方が多い場合が多いため、CISOはCIOにとって悪い印象を与えてしまう可能性がある。
5つ目の例は、DevOpsである。私自身を含め、多くのCIOが迅速な継続的デリバリーを提唱している。しかし、残念ながら、サイバーセキュリティテストをプロセスに組み込むDevSecOpsを提唱するCIOはそれほど多くない。これは、おそらく、新しいソフトウェアビルドをリリースし、それが完璧でなかった場合に何らかの修正が必要になるというリスクを受け入れるよう、経営陣の利害関係者からプレッシャーをかけられていることが原因だろう。一方、ソフトウェア開発者の経歴を持つ CISO は多くはなく、そのため、このプロセスに関与し、それに挑戦することに抵抗を感じる場合が多い。
CIOとCISOの典型的な違いがどのように関わるか
上記の摩擦は、CIOとCISOの人格とは何の関係もない。さらに、この相容れない問題が関係にさらなる緊張をもたらす可能性がある。
CIOとCISOは、異なるキャリアパスを経てその地位に就いている可能性が高く、仕事に対するアプローチも異なる場合がある。その結果として生まれた典型的な人物像の中には、自然と協力し合えるものもあれば、衝突してしまうものもある。
ここで私がアドバイスしたいのは、相手側のやり方をよく考え、彼らの自然なスタイルを把握し、潜在的な圧力ポイントにどのようにアプローチするかを変えることである。例えば、ビジネス志向のCIOやパートナー志向のCIOは、利害関係者の関与を成功の鍵として重視する。技術志向のCISOや変革志向のCISOと組む場合、アプローチに食い違いが生じる可能性がある。
この緊張関係をどう管理するか
CIOとCISOの間の緊張が高まっていると感じたり、アプローチに自然な相違点があることに気づいたりした場合は、この問題を認識し、相違点をどのように調整するかを検討することが、CIOとCISOの両方にとって重要です。
このような状況では、座って、お互いのビジネス目標を念頭に置きながら、どのように協力していくかを話し合うのが最善の方法である。考慮すべき原則として、次のようなものが挙げられる。
- 会社第一主義の姿勢を貫く。
- 提案された行動のすべてについて、ビジネス上の利益を理解する。
- 事実に基づいて行動する。
- 透明性と誠実さを保ち、決して攻撃的にならない。
- 双方にとって有益な解決策を探る。
両当事者が変化を起こすことに真剣に取り組まない場合、このアプローチはうまくいかないかもしれない。そのような場合は、関係を円滑に進めるために第三者の介入や独立したコーチの起用など、リセットが必要になるかもしれない。このリセットは、どちらかの当事者が諦めて手を引くことなく、ちょっとした修正を加えるだけでうまくいくことを期待したい。
適度な緊張感は、CIOとCISOの日常業務にとって有益である。しかし、それが対立へと発展し、非生産的な状況を生み出さないよう管理しなければならない。そうしないと、両者にとって損であり、ビジネス全体にとっても良い結果にはならない。