経営幹部の中核メンバーといえば、おそらくCEO、CFO、COO、そしてもしかしたらCMOといったお決まりの人物像を思い浮かべるでしょう。それぞれの役割は明確に定義されています。CEOは戦略を統括し、最終的には取締役会に報告します。CFOは予算を管理し、CMOは従業員の購買意欲と購買頻度を高め、COOはあらゆる業務を円滑に進めます。役割に関わらず、全員が同じ目標、つまり株主価値の最大化を目指しています。
しかし、情報化時代は経営幹部の構成を揺るがしています。サイバー市場は、現代の企業を安全に守ろうと爆発的に成長しています。マルチクラウド環境、誰も追いつけないほど高速に生成・保存されるデータ、組織全体のほぼすべての機能を支えるSaaSアプリケーション、そしてこのトレンドに合致する新たなタイプのセキュリティ体制などです。しかし、その要因が何であれ、サイバー戦略と企業戦略は密接に結びついているという事実は変わりません。したがって、経営幹部に最高情報セキュリティ責任者(CISO)を配置することは、株主価値の最大化においてCFOと同様に一般的で影響力を持つようになるでしょう。
90年代初頭。銀行強盗。ハッカー。サンクトペテルブルクとニューヨーク。オフショア銀行口座。まるで最新の心理スリラー映画のあらすじのようだが、これが1994年に最初のCISOが任命された背景である。
ロシアのハッカーが、大西洋の向こう側にある薄暗いアパートでキーボードを叩き、シティの顧客口座から1,000万ドルを盗み出した。セキュリティ担当幹部のスティーブ・カッツ氏は、この危機に対応するため、JPモルガンからシティの経営幹部に引き抜かれた。彼の役職は?CISOだ。
入社後、彼は2つの重要なことを告げられた。1つ目は、このような事態の再発を防ぐためのセキュリティプログラムを構築するための白紙小切手を受け取ること、2つ目は、入社1ヶ月後にシティがハッキング事件を公表することだった。カッツはその後数ヶ月、20万マイル以上を飛び回り、企業の財務担当者や財務責任者を訪問し、資金が安全であることを保証した。最初のCISO就任のきっかけは文字通りの銀行強盗だったが、盗まれた1,000万ドルは、今日のCISOが守るべき責任と比べれば取るに足らないものだ。
最近のSolarWindsのセキュリティ侵害を例に挙げましょう。SolarWindsの株価は2020年12月10日の終値が23.55ドルでした。しかし、翌週にサプライチェーン攻撃のニュースが報じられると、株価は7日間で40%急落し、時価総額は約30億ドル減少しました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ハッキングのニュースが最初に報じられてから3ヶ月以上が経った現在、株価は17.24ドルまでしか回復していませんが、それでも20億ドルの損失です。経済的影響は甚大ですが、データの漏洩も考慮する必要があります。2017年にEquifaxがデータ侵害を受けた際、1億4,300万件のデータが漏洩しました。株価が侵害前の水準に戻るまでには2年近くかかりました。このような情報漏洩は、消費者とウォール街の信頼を損ない、永続的な影響を及ぼす可能性があります。
最近では、パンデミックと急速なリモートワークへの移行により、CISO(最高情報セキュリティ責任者)が脚光を浴びています。CISOは危機対応を担う中核経営チームの一員として、この時期、これまで以上にCEOや取締役会と交流を深めました。リモートワークへの移行には、既知の脆弱性に対するパッチ管理の徹底、BYOD(個人所有デバイス持ち込み)プログラムに含まれるエンドポイントの追跡、過負荷状態のVPNのセキュリティ確保、ゼロトラストのセキュリティ体制の標準化といったセキュリティソリューションが求められました。
データは世界で最も価値のある(そして脆弱な)リソースである
組織をリモートワーク対応体制に整えることは、ほんの始まりに過ぎません。在宅勤務の世界では、未検証の攻撃対象領域が存在するため、パンデミックのさなか、90%の組織でサイバーセキュリティ攻撃の件数が増加しました。また、同じ時期に、新たなランサムウェアの作成数も72%増加しました。ハッカーたちは、脆弱性を突こうと大挙して現れました。
シティのカッツ氏と同様に、予算は増加し、CISO は、パンデミックによってもたらされた新しい働き方、組織全体のマルチクラウド移行、データ増殖、SaaS 活用機能をサポートするためのセキュリティ対策を構築するための資金を自由に受け取ることになるでしょう。
CISOを経営幹部層に迎え入れ、企業戦略に参画させることで、開発者やAPIハイジーン(衛生管理)から、ITインフラ、開発、サイバー、ビジネス部門をまたぐハイブリッドな役割の追加、そして取締役会監査委員会のベストプラクティスのアップデートまで、組織のあらゆる部門において、より優れたレジリエンス(回復力)を実現できます。財務監査委員会やDEI監査委員会と同様に、セキュリティ監査は取締役会の監督における新たな中核的要素となりつつあり、CISOは経営幹部層においてより中心的な役割を担うようになっています。
投資家は大きなリターンを求めるため、従来のセキュリティ問題にとどまらず、CISOとのより緊密な連携が求められています。これまでセキュリティへの投資に躊躇していたのであれば、今こそその好機です。
私たちはもはや単なる成長投資家、ブランド投資家、人材投資家ではありません。セキュリティ投資家でもあるのです。サイバー空間と隣接領域の境界線はますます曖昧になるからです。たとえほんの少しでも、このアイデンティティを自分のものにすることで、サイバーセキュリティソリューションに直接投資したことがないとしても、より優れた投資家になれる可能性を秘めています。さらに、この業界には思考の多様性が必要です。私たちが「ニューノーマル」を共に定義していく中で、CISOはサイバー戦略、つまり企業戦略を策定する議論に参加する必要があります。
「インターンを責める」だけではスタートアップはサイバーセキュリティの責任から逃れられない
