CIOから安眠を奪う5つの要素(ヒント: 目に見えるものとは限りません)
先日発生した世界的なシステム障害は、様々な業種で商業活動とビジネス活動に混乱を引き起こしただけでなく、最高情報責任者(CIO)に厳しい警告を与えました。すなわち、いつ何時発生するか分からない新たな脅威に備える必要性です。
真夜中のサイバーセキュリティ アラートを想像して眠れないCIOは少なくありません。その悩みは、最新のランサムウェア攻撃からエッジ コンピューティングやIoTなどの拡大する脅威ベクトルまで多様です。これ以外にも諸刃の剣としてのAI、データ侵害の被害額増加、サイバーセキュリティに関する質と量両面でのスキル ギャップの拡大といった深刻な問題が存在することを考えれば、経営幹部が不眠に悩まされるのも無理はありません。
技術系役員を悩ます脅威とその影響は、実際には、より大規模で戦略的な問題の兆候です。不眠・不安を引き起こす主要な課題を以下に挙げます。
1.複雑性を緩和し、事業成長への影響を防ぐ
明白かもしれませんが、複雑性は強固なサイバーセキュリティに対する深刻な脅威であり、その度合いは悪化を続けています。事実、様々な調査と研究レポートでは複雑性が最大の要因に挙げられています。業務を効率化し市場競争に革命をもたらすデジタル インフラへの大規模な投資が進んでいることは幸いですが、新規テクノロジとツールの調達、導入、管理が取引別で場当たり的に行われることは少なくありません。その結果、アンチマルウェアからランサムウェア検出まであらゆるツールで互換性と効率が著しく低下します。
このようなサイロ化したバラバラのサイバーセキュリティは脅威、攻撃者、潜在的対策に関するコミュニケーションを妨げるため、サイバーセキュリティ責任者の日常を次第に悪化させます。こうした状況を反映して、統合型サイバーセキュリティ プラットフォームなどの新しいアプローチを採用する組織は少なくありません。プラットフォーム化の採用は、あらゆる手段を用いて複雑性の緩和を試みるCIOにとって大きな一歩です。
2.経営幹部や取締役会との有益で率直な関係の構築
サイバーセキュリティが複雑性と重要度を増す中で、取締役会の関心と関与が深まっています。従来の手法は取締役会議で定期的にプレゼンテーションを実施するものでしたが、近年ではより頻繁で戦略的な緊急時コミュニケーションに変化しています。四半期毎の取締役会でのプレゼンテーションを待たずとも、ZoomやMicrosoft Teamsなどのコミュニケーション ツールの普及により、サイバー脅威と課題をリアルタイムに議論することが非常に容易になりました。
こうした会議は、業務/マーケティング/財務の観点からサイバーセキュリティの枠組みでビジネス感覚を取締役会に示す好機ですが、現実には不確実性と複雑性を伴いがちです。そのため、取締役会の視点でリーダーシップ チームに欠かせない重要な戦略的要素にCIOを位置付けることが、これまで以上に重要になります。無論、これは容易ではありません。
賢明な経営幹部の皆様は広く使用される「役員室政治」の用語をご存じでしょう。これもストレス悪化の要因です。経営幹部向けに用いる言葉を再考することがCIOには求められます。また、誠実かつ率直な態度で問題と解決策を包括的に議論することも重視すべきです。こうした議論の多くはリスクに焦点を当てますが、サイバーセキュリティの戦略と戦術がビジネス機会の拡大にどう貢献できるかを説明することも重要です。
3.リソース マネジメントの専門家になる
実際には複合的な課題であり、新たに出現した脅威に対しても評価・優先順位付けできる高度なスキルが求められます。以下の事実を念頭に置くべきです。
- サイバーセキュリティのスキル ギャップは深刻であり、世界的な雇用増加にも関わらず、ギャップの拡大が続いています。世界経済フォーラムは2023年に世界のサイバーセキュリティ労働人口が12%以上増加したと述べましたが、それでもサイバーセキュリティ関連人材は世界で400万人以上不足しています。
- サイバーセキュリティの準備と防御に費やすテクノロジ予算は増加を続けています。しかしながら、量、スピード、独創性、有効性の面で進歩する脅威に追いつくには多くの場合不十分です。
- 自動化とインテリジェンスを用いたツールは非常に有用ですが、従来以上のスピードで新たな脅威が出現するため、生産性向上の効果が薄れています。調査によるとサイバー犯罪の発生頻度は37秒毎であり、終わりのない脅威レスポンスをCIOに強いています。
大きな成功を収めているCIO は、適切なリソースを適切なタイミングで集積、評価、配置する方法を理解することで、既存のリソースを最大限活用できています。例えば、「AIコパイロットを用いて業務効率を調査した上で、外部委託費を削減するか、少なくとも増加を抑えられますか?」といった質問は解答困難ですが成功には欠かせません。また、ゲートキーパーに接触して効果的なロビー活動を実施し、政治的なテクニックを駆使して、十分かつ適切なサイバーセキュリティ リソース ポートフォリオを構築しないことで生じるネガティブなコストを指摘する必要があります。
4.AI利用に向けてデータ ストレージとデータ セキュリティを優先
2022年の調査では、回答者の63%がクラウドを「大いに」利用しています。また、クラウド サービスの利用率は2021年に59%、2020年に53%でしたが、驚くべきことに、2023年のCloud Security Allianceの調査では、世界の組織の98%がクラウド サービスを利用していることが明らかになりました。したがって、データ ストレージを意識するだけでは不十分で、CIOの最優先事項に位置付ける必要があります。
元々データ ストレージとデータ セキュリティは現代の複雑な課題として扱われてきましたが、AIの登場により緊急性が生じました。18ヶ月前、AIモデルの訓練と稼働に必要な膨大なデータをほとんどのCIOが意識していませんでした。それが今では、大規模かつ安全なデータ環境を要求されています。AIテクノロジに必要なデータ セキュリティ、プライバシー規制、ストレージ需要増への対処を両立しつつ、機密データの漏洩や誤った取り扱いを防ぐことが、CIOの新しい課題です。
この業務負荷の増加に対処するには、ストレージ戦略とセキュリティ戦略を再考し、AI駆動環境全体でデータの安全を確保する新たなプロトコルとツールの導入が求められます。従来は後回しにされていた取組みが、先手の対策と業務の完全性維持に欠かせない要素になったのです。
5.専門家のニーズと個人の幸福に気を配る
CIOの責任と課題は増加・複雑化しています。もちろん、一般にCIOは名誉ある高給の役職ですが、常に厳しいプレッシャーを受ける点は無視されがちでした。昨今の状況では、このプレッシャーが失敗のリスクと直接結びつきます。CIOはAIではなく人間であり、ストレスから不眠に陥る可能性があることを常に念頭に置くべきです。
CIOの職務は非常にやりがいがあり、専門家としてのプライドの源である反面、恐ろしく複雑でリスクを伴います。経営幹部や組織がCIOを雇用し頼る際には、技術的な仔細にとらわれず大局的な問題を理解し重視することが必要です。データをビジネス チャンスと競争上の優位性に変える手段の検討もCIOの重要な業務であることは確かですが、重要資産が危険にさらされ続ける状況では実現できません。
他と比べて不眠を感じるCIOは大勢存在するはずです。プロアクティブな手法を採用し、リスクを無視せず認識することが、安眠への第一歩です。
スキル不足のギャップに対処する方法は、サイバーセキュリティの展望に関する記事をご参照ください。