Day: June 5, 2024

CIOとCISOの緊張関係を緩和するためにサインを認識すべき – Cyber Tech

June 5, 2024
CIOとCISOはストレスの多い環境で業務を行っているため、時としてそれが両者の関係にさらなる負担をかけ、有益な成果の達成を妨げることもある。 私自身、CIOとCISOの両方を経験してきたので、この問題については両方の立場から直接的な経験がある。特に、CIOに報告することが多いCISOにとっては、この状況を緩和し、両者にとって実用的で健全かつ互いを尊重し合える関係にすることは難しい。そのためには、相手の役割におけるプレッシャーや優先事項、またパートナーの行動様式を理解する必要がある。 緊張関係に陥りやすい関係 CIOとCISOの間に摩擦が生じるのはなぜなのかを理解するには、それぞれの立場におけるプレッシャーや優先事項を考慮する必要がある。 CIO の役割は、経営陣や役員会から注目され、高い評価を受けるべき数多くの活動で満たされている。役員会や経営陣は、IT に関するあらゆる課題のトップに立つ CIO を求めている。 この課題、すなわち CIO の存在意義は、テクノロジーの活用を通じてビジネスの変革と成長を実現することである。企業内の主要な利害関係者は、テクノロジーを活用した変革と、これらのプラットフォームを通じた顧客満足度の向上を求めている。CIO は、これらの新しいデジタルソリューションを提供できる能力だけでなく、サービスの中断や障害による業務プロセスへの影響を最小限に抑える能力も問われる。 一方、CISO の使命は、外部からの脅威から企業を守ることにあります。確かに、CIO もこの問題に関心を持っているが、企業を守るために必要なトレードオフに関しては、ビジネス利害関係者からの圧力に直面することもある。 こうしたトレードオフは、CISOの職務と交差する難題であり、両者の優先事項の対立を浮き彫りにする。時間が経つにつれ、こうした状況や、その対処法や解決法が、両者の間で実際の摩擦を引き起こす可能性がある。この摩擦は、公の場で表面化する場合もあれば、同僚やCIO/CISO自身にはあまり知られていない場合など、表面化しない場合もある。 CIOとCISOの共通の圧力要因 成熟した企業では、当面の間はリスクを受け入れ、改善策は後回しにするしかない。脆弱性パッチの適用は、CIOとCISOの間に緊張関係が生じる一例である。 悪用された極めて重大な脆弱性の場合、CISOは直ちにパッチを適用することを望み、CIOも緊急性について同意見である可能性が高い。しかし、中程度のパッチの場合、CIOは本番システムへの影響を先延ばしにするようプレッシャーをかけ、パッチ適用を1週間、あるいは数か月間待つようCISOに要求する可能性がある。 デジタルカスタマーエクスペリエンスに影響を与えるプログラムについても、同様の緊張関係が存在する。例えば、新しい多要素認証機能には、顧客への新たな連絡が必要となり、場合によってはチャネルの一時的な混乱も伴う可能性があるが、ビジネス部門がそれを容認するのは難しいかもしれない。 あるいは、CIOとエンジニアリングチームは、ビジネス部門と協力して、APIプラットフォームを通じて新しい顧客向け機能を提供する場合もある。CISOの観点では、これらのAPIは適切に管理され、予期せぬデータ損失の要因とならないよう、侵入テストまで実施する必要がある。CISOはより厳格な管理を求めているが、CIOは原則的には同意しながらも、多くの場合短期間で機能を確実に提供することで、利害関係者の期待に応える必要がある。 インシデント管理も、緊張関係が生じやすい分野である。重大なサイバー攻撃や業務中断が発生した場合、CISOはリーダーシップを発揮し、しばしば「伝令役」として悪いニュースを伝えなければならない。当然ながら、CIOはすぐに報告を受けたいと考えるが、多くの場合、詳細は不明なままである。この初期段階では、答えよりも質問の方が多い場合が多いため、CISOはCIOにとって悪い印象を与えてしまう可能性がある。 5つ目の例は、DevOpsである。私自身を含め、多くのCIOが迅速な継続的デリバリーを提唱している。しかし、残念ながら、サイバーセキュリティテストをプロセスに組み込むDevSecOpsを提唱するCIOはそれほど多くない。これは、おそらく、新しいソフトウェアビルドをリリースし、それが完璧でなかった場合に何らかの修正が必要になるというリスクを受け入れるよう、経営陣の利害関係者からプレッシャーをかけられていることが原因だろう。一方、ソフトウェア開発者の経歴を持つ CISO...
x