コミュニケーションギャップに人材不足ーCISOが克服すべき課題とは

コミュニケーションの第一歩は同じ土俵に乗ること

外村：
今回はCISOが抱える課題について見解を聞かせてください。CISOの悩みの1つに挙げられるのが、経営層との「コミュニケーションギャップ」です。経営層は「CISOは説明不足で、話す内容が分からない」と悩み、逆にCISOは「経営層はセキュリティの重要性を理解していない」と諦めてしまうというケースが見受けられます。こうした状態に陥らないようにするためには、どのようなコミュニケーションが必要でしょうか。

梶浦：
経営層に技術的な話をしてもなかなか伝わりません。例えば、「セキュリティパッチを当てないと不正アクセスされます」と言っても、「自社がリスクに晒されている」という危機感は伝わりません。CEOが知りたいのは「不正アクセスされるかどうか」ではなく「不正アクセスによってビジネスにどれだけのダメージがあるか」です。ですからCISOは「今回リリースする新サービスは、事業リスクとして○○の可能性があります。最悪の場合は○○円程度の損失が発生します」という、CEOが危機感を持つような伝え方をすべきです。

そのうえで、「事業リスクを回避するアプローチは3案あります。A案は事業部門長とCISOが話し合ってリスクの許容範囲を決めたもの。B案は事業部門サイドの意見を反映させて許容リスクを増やしたもの。そしてC案はCISOサイドの視点で考えたリスク回避を優先させたものです。それぞれの詳細について説明します」という言い方をすれば、話は聞いてもらえるでしょう。つまり、CEOと同じ会話の土俵に乗れるのです。

こうしたリスク感覚を伝えるコミュニケーションは非常に重要です。前編でお話したように、経営層に「危険な匂いがする」という感覚を持ってもらえれば、話はそこから進むのです。

外村：
CEOとCISOで会話がかみ合わないのは、どちらに責任があるとお考えですか。

梶浦：
CISOを任命しているのはCEOですから、最終的な責任はCEOです。ただし、任された範囲でCISOがミッションを果たさなければ、それはCISOの責任です。CISOの重要任務の1つは「セキュリティのことが分からない経営者や役員にリスク感覚を伝える」ことです。先述した事例のように、リスクの許容に応じてA案・B案・C案を提示して説明するなどして、CEOが決断できる環境を作るのはCISOの役割です。

外村：
私が同じ質問を受けたら、難しい選択ですが「CISOの責任」だと回答します。CISOはリスク管理者ですから「1年間でどのような施策を講じ、その結果どれだけのリスクを削減できたか」を経営層が理解できるように説明することが求められます。それできていないのであれば、自社が直面しているリスクの整理が足りていないことになります。つまり、リスク管理者として一番重要な責務を果たしていないと考えるからです。

梶浦：
その考えは正しいと思います。ただし技術的な側面から考えると、CISOが1人で責任を負う必要はないと考えます。少し話は飛びますが、NICT（国立研究開発法人情報通信研究機構）の関係者と話をしていたとき、「私たちの成果で大きなものはサイバーセキュリティを可視化したことです」と言うのですね。

NICTは大規模サイバー攻撃観測網である「NICTER」で、サイバー空間における攻撃状況を可視化しました。NICTERは無差別型サイバー攻撃の大局的な動向把握を目的としたもので、攻撃の様子が矢印で3次元的に示されます。こうした視覚的効果は、「今、自分たちはターゲットになって集中砲火を浴びている」ことを感覚として理解しやすいのです。これを経営会議などで経営層に見せれば、技術的な知識がない人でもその状況を把握できます。NICTERのような外部ツールをコミュニケーションの手段として活用することも一案でしょう。

CISOのキャリアゴールはサイバー空間の平和維持活動

外村：
最後にCISOのキャリアパスについて伺います。CISO自身がキャリアアップをするためには何をすべきでしょうか。

梶浦：
米国企業型人事のキャリアパスであれば、より大きな会社のCISOになるのが主流です。「私は○○人規模企業のCISOを3年間経験しました。在任中も重大インシデントは2回しか発生しておらず、その時はこうした対策を講じ、被害を最小限に抑え、追加の攻撃をブロックしました。さらにCEOとは密にコミュニケーションをし、株主に対してこんな情報を提供しました」ということを明確に説明できれば、より好待遇の組織へのキャリアアップが期待できます。実際、中堅企業のCISOとしてキャリアを積んだ後、10倍規模の企業に転職して報酬が2倍になるというケースも少なくありません。

外村：
理想的なキャリアアップですね。

梶浦：
もう1つ、私が日本のCISOにキャリア形成の1つとして考えてもらいたいのは、「日本全体のセキュリティレベルの向上に貢献する」ことです。個人的見解ですが、日本企業である程度キャリアを積んだCISOには、自社だけにとどまらず、業界を横断するような社会（社外）に貢献してほしいのです。

経済団体のメンバーであれば、自分の実績・経験を活かして政府に提言をしたり、外郭団体や政府審議会、業界団体の一員として積極的に情報を発信したりするといったことが考えられます。あるいはJCIC（一般社団法人 日本サイバーセキュリティ・イノベーション委員会）のようなシンクタンク組織で研究・情報発信をするといったことも、キャリア形成の一環として視野に入れていただきたい。攻撃に関する情報やインシデント対応のノウハウなどを企業や組織の枠を超えて共有すれば、日本企業全体のセキュリティの底上げにもなります。日本企業は組織横断的に活動することに消極的ですが、ぜひその部分に目を向けていただきたいです。

外村：
先にサイバーセキュリティは「競争領域」ではなく「協調領域」だと指摘されました。サイバーセキュリティはビジネス上のコンフリクトにならない稀有な存在ですよね。

梶浦：
そのとおりです。話は大きくなりますが、サイバー空間は国境のない1つの世界です。私は世界のデジタル人材は全員がフラットな立場であると考えています。ですから、世界のデジタル人材が一致団結してサイバー空間の“平和”を守ってほしいのです。理想論に聞こえるかもしれませんが、私はそうした世界を信じていますし、それを実現するための労力を惜しみません。