2024年、CISOに必要なスキルトップ10を発表 カーネギーメロン大学：AIの包括的理解や交渉術が必要に

急速な技術革新とAIの登場によって、CISOの役割は重要さを増している。ビジネスを守りつつ成長に導くために求められるCISOのスキルは幅広い。

[＠IT]

　カーネギーメロン大学ソフトウェア工学研究所長のグレッグ・トゥヒル氏は、2024年1月24日（米国時間）「2024年、最高情報セキュリティ責任者（CISO）に必要なスキルトップ10」を同大学の公式ブログで明らかにした。

CISOに必要なスキル　トップ10

1．AIに支配される前にAIを使いこなす

　CISOはAI（人工知能）の構築や運用にとどまらない、包括的な理解を有していなければならない。CISOはAI技術によって組織がどのように強化できるかを認識し、メリットとリスクを特定し、コーポレートガバナンスのプロセスに積極的に貢献する必要がある。例えば、従業員が生成AIを使用する際のガイドラインを作成すれば、機密データが不正に開示されるリスクを軽減するのに役立つ。

2．取締役会および経営幹部とのコミュニケーションの改善

　CISOは複雑な技術的問題を、シニアビジネスリーダーが理解し納得できる言葉で有意義な議論に落とし込む必要がある。取締役会や経営層を技術用語で圧倒したり、効果的とは言い難いPowerPointのスライドを延々と続けたりすると、CISOとその組織に対する信頼は損なわれる。その結果、CISOは企業のリーダーシップチームにおいて本来果たすべき役割よりも小さな役割に追いやられてしまうことが多い。

3．ビジネスの理解を深める

　CISOは特にビジネスの仕組みをより深く理解することに重点を置く必要がある。可能であれば経営学修士号（MBA）の取得を検討してほしい。CISOはビジネス用語、プロセス、ガバナンス、規制、ベストプラクティスについても十分な理解を持つ必要があるためだ。

4．指標と定量化によるリスク管理を

　サイバーリスクを効果的に管理するために、CISOは高度なメトリクスとリスクの定量化を優先すべきだ。企業のリスクサーフェスは複雑さを増しており、エビデンスに基づくデータと明確に定義されたリスクフレームワークが必要だ。

5．サプライチェーンリスクの理解と管理の向上

　サプライチェーンの複雑化、サードパーティーパートナーへの依存、ソフトウェアの再利用、改ざんを検知するツールの欠如は、組織を危険にさらす。商用ソフトウェアの場合、メーカーから明確に定義され検証されたソフトウェア部品表（SBOM）情報が存在しないため、CISOはサプライチェーン内のソフトウェアやハードウェアの不確実性、脆弱（ぜいじゃく）性および新種の脅威にユーザーとして気を付ける必要性がある。

6．交渉術をマスターする

　取締役会や上級管理職は、資金を割り当てる前に説得力のあるビジネスケースと投資対効果の実証を要求する。サイバーセキュリティがビジネスプロセスに統合されつつある中で、CISOは費用対効果の高いサイバーセキュリティ機能を取得するために、交渉と監督を行うスキルを強化しなければならない。

7．企業ITの枠を超えて考える

　CISOは、企業のITネットワークを超えて、組織のデータ中心の視点を採用するよう求められている。CISOは「Key Cyber Terrain」（組織内でのサイバーセキュリティの観点からの重要なエリアや要素）を見つめ直し、従来の企業ITネットワークの範囲を超えて、組織のビジネス全体を考慮することが求められている。

8．コラボレーションと情報共有の促進

　金融サービス業界はサイバー脅威情報の共有を進めているが、他の重要インフラ業界のCISOもセキュリティとレジリエンスを強化するために、金融サービス業界と同様のプロセスを採用することを検討すべきだ。

9．クリティカルかつ戦略的思考を実践する

　CISOは、新たな脅威、取締役会からの問い合わせ、メディアからの報道などにより、日々の戦術的な業務に没頭することが多い。しかし、戦術的な側面だけに集中していると、上級管理職として必要な戦略的な焦点が薄れてしまう可能性がある。CISOの役割が成熟し、シニアエグゼクティブの地位として認知されるようになるにつれ、より多くのCISOが日々の危機管理のために有能なスタッフを置くことが重要になってくる。

10．競争優位のための資本増強

　CISOは企業の予算審議において、ハードウェアやソフトウェアの購入において、しばしば課題に直面する。2024年、多くのCISOは競合間における自社のポジションを示すために比較データを活用するだろう。先進的なCISOプログラムでは、ソフトウェア、ハードウェア、人的資本の包括的な分析に基づいて資本増強を提案することが期待される。