CISOが経営変革を推進するための「3つの役割」：技術革新をリスクではなく機会に

　両者は、組織が直面する不確実な環境を踏まえ、「ハイプを活用して実質的な変革を推進する」必要があるとして、CISOの3つの役割を解説した。

　1つは「ミッションとの整合」だ。CISOはサイバーセキュリティ施策を組織目標と結び付けて説明する責務があるが、成果主導の評価指標となるODM（Outcome-Driven Metrics）を導入し、リスクと保護レベルを可視化することで、経営層との合意形成を容易にすることを推奨している。ODMの確立後には保護レベル合意（PLA：Protection Level Agreement）を活用することで、適切な保護レベルと投資のバランスを取り、ハイプに振り回されない意思決定を促す。

　2つ目は「イノベーションへの備え」だ。この点についてはAIを積極的にセキュリティ領域に適用することが重要だ。CISOは自身を含むチームのAIリテラシーの育成、コード解析、脅威ハンティング／脅威モデリング、ユーザーの振る舞い分析などでの実験的な活用を推進するべきだという。併せて、データ保持ポリシーの改訂、カスタム構築された生成AIに対する包括的なリスク評価、規制順守監査を実施するなど、生成AI活用の安全性を担保することで、AI投資の成果を保護できるとしている。

　3つ目の「変化への柔軟性」については、AIの普及がもたらすアタックサーフェス（攻撃対象領域）の拡大や内部脅威などを理解した上で対応する必要性を示した。単にハイプに追随したり、惑わされたりすることなく、変革のエネルギーとして生かせるよう、自社の状況に照らして動向を読み解き、真に必要な要素を見極める視点が求められるとしている。

技術革新をリスクではなく機会に変える

　セキュリティ領域では「安全性と利便性をどう両立するか」といった恒久的なテーマがある。実際、CISOには経営層、現場層から相反する要請が寄せられることもあるが、「ハイプの流れを学習することで、自身のチームやビジネス部門への影響を先読みできるようになる」とし、継続的な取り組みの重要性を訴えている。

　一方で、従業員が抱える不安や抵抗感に配慮し、主体的に業務に関われる環境を整備することも重要だという。自動化や新たなスキル習得に挑戦できる風土を築くことは、従業員と組織の成長、発展につながる。今、組織にはセキュリティ対策をコストではなく投資とし、技術革新をリスクではなく機会とするスタンスが求められているが、こうした提言からは、CISOが単なるリスク管理者ではなく、経営変革の推進役であることが改めてうかがえる。