セキュリティ担当者に心の平和を--ウィズセキュア CISOが考える「生きがい」の見つけ方
2番目は、「組織の目標」についてだ。「組織は、何を世界に提供しているか」「組織は、どのように社会を高め、文明を発展させ、生活を向上させるか」といったことを考える。個人と組織の目標が合致するならば、相互作用が生まれ、特別な作業をする際にも活力が得られる。逆に、自分が働いている組織の目的を信じられるかを問うこともできる。 3番目は、「自社のセキュリティアウトカム」だ。セキュリティ部門の責任者であるCISOとして、自社のサイバーセキュリティプログラムを考える必要があり、セキュリティ上の成果(アウトカム)はその中心的なものだとBejerasco氏。そのため、「組織が望むビジネス上の成果に対するリスクを低減するために必要なセキュリティ上の成果とは何か」を考える。2023年、同氏は「セキュリティアウトカムキャンバス」を「SPHERE23」で発表している。同キャンバスは、組織のセキュリティアウトカムを得ることを支援する。 最後は、「自分のリソース」だ。自分がアクセスやコントロールができ、影響力を持てるもの全てについてである。「自分がすることを助けてくれる味方は誰か」「自由に使えるプロセスやテクノロジーは何か」「リソースを強化するための予算はどれくらいあるか」といったことが問いになる。「これらは全て、セキュリティアウトカムを実現するために活用できるリソースだ」(Bejerasco氏) これらを全て組み合わせると、交わっている部分ができる。これらがCISOとして活動できる領域だという。 自分と組織の目的が交わる部分では、共有される目的を見つけることができる。物事が困難になりサイバーセキュリティ機能の価値を証明しなければならないと感じたり、雑音や意見が多すぎてどうしたらいいか分からなくなったりした時でも、共有される目的を見つけられ、自分がやっていることの理由を思い出させてくれるとBejerasco氏は語る。 組織の目的と自分のセキュリティ上の成果が交わる部分は、組織のセキュリティを継続するという使命を果たすためにエネルギーを注ぐ部分だ。組織の目的にとってセキュリティアウトカムが問題となるため、エネルギー不足に陥ることもあるという。 セキュリティアウトカムとリソースが交わる部分では、運用の範囲と限界を知ることになる。なぜなら、セキュリティ上必要なことを全てするためにリソースが十分あるとは限らないためだ。ここで必要なのは、自分が達成しようとしているセキュリティアウトカムに変化をもたらすのにリソースが十分かということだ。これは、「自分自身に対する思いやりを見いだすことができる部分かもしれない」(Bejerasco氏) 最後に、自分の目的とリソースが交わる部分では、組織の一員であることで、組織が持つリソースによって力が増強される。それこそが組織の利益のために自分が好きなことをする力だとBejerasco氏は強調する。例えば、測定基準を作るのが好きなら、組織のサイバーセキュリティ施策を測定する方法を、脅威アクターのプロファイルテストについて調査したいなら、そのための時間を作ればいい。「仕事が自分たちを幸せにしてくれない理由はない」(同氏) そしておそらく、こうしたさまざまな側面を理解することで、私たちは職場における「長寿」を得られ、人生おいても長寿が訪れるだろうとBejerasco氏は考える。それというのも、「デジタル空間の守護者が短いキャリアや短い人生で終わらなければならない理由はどこにもないからだ。結局のところ、デジタル空間とは、私たちが一つの組織で一度に守り、成長させているサービスによって構成されているにすぎない。つまり、セキュリティを司るCISOが幸せで、健康で、活力に溢れているということだ。皆さんも、“生きがい”を見つけてもらいたい」(同氏) (取材協力:ウィズセキュア)