Share :
2019-01-04

CEOや取締役が今認識すべきこと -「サイバーセキュリティの時代」は、無視することも回避することも出来ない

skull

現代において、サイバーセキュリティリスクは、組織が管理しなければならない最も予測不可能なリスクの 1つです。 昨今のサイバー攻撃で何度も目撃されているように、管理の不十分なサイバーセキュリティリスクは企業ブランドの低下、株価への悪影響、金銭的な罰則、および規制当局による捜査を招く可能性があります。 サイバー脅威は複雑さの観点で指数関数的に成長しており、あらゆる規模の組織や企業に影響を与えています。最高経営責任者( CEO)および取締役は、組織に対する潜在的なサイバーリスク、リスク選好、潜在的な対応策、対応プロセス、セキュリティ成熟度を理解し、サイバーセキュリティ対応の文化を醸成・推進するための基軸となる人財を受け入れる必要があります。

今日の組織はアジリティやビジネススピードの向上によって齎される生産性を追求し、拡大し続けるサプライチェーンネットワークに依存していますが、そのすべてにおいてサイバーセキュリティの役割は日に日に明確になっています。 残念ながら、新しいテクノロジーを利用・悪用し、絶え間なく進化するサイバー脅威は、組織のサイバーセキュリティ戦略に大きな影響を与えることになります。これを転機とし、 CEO及び取締役会メンバーは、サイバーリスクマネジメントや組織的なセキュリティ対策に関与する必要があります。

 ではなぜ、役員層がサイバーセキュリティ対策についての理解度を高め、関与する必要があるのでしょうか?

  • サイバーセキュリティを「リーダーシップの問題」として規定することで、企業の意思決定者はこの重要な問題をIT部門のものとして限定するのではなく、サイバーセキュリティ対策に潜在的なギャップがあるということを認識できます。 このナレッジは、タイムリーな是正措置、積極的な関与、組織全体のビジョンステートメントおよび戦略へのサイバーセキュリティの統合などを確実にし、あらゆる法的および財務的影響を最小限に抑えます。
  • 最高経営責任者(CEO)と取締役会メンバーが自らサイバーセキュリティに正対することにより、「これは重要な課題である」と人々に対してシグナルを送ることになります。 さらに、管理ポリシーやサイバーセキュリティ関連のベストプラクティスは、部門を横断して、より統一的な対応を齎すでしょう。
  • 潜在的な脅威に対する経営陣の総体的アプローチは、士気を高める運動であり、積極的・独創的で、時代に適応し、歩みを進めているリーダーシップチームであることを示します。サイバー攻撃への計画及び準備は、企業のステークホルダーからの信頼を増大させます。適切な実行計画は潜在的な財務インパクトを適切に考慮し、ハッキングやサイバー攻撃が発生した際の自社の過失に対する申し立てに対して、適切に対応することに役立ちます。
  • 多くの場合、CEOはサイバーセキュリティの専門家ではありませんが、関連する専門家を組織の取締役会に含めることで一度に2つの目的を達成できます。 まず、サイバーセキュリティに関するリーダーシップチームの総合的な知識を高めることが出来ること、次に、この重要な分野に直接関与することで自社、あるいは周辺でサイバー脅威が発生した際に見逃すことがなくなることです。
  • 企業のステークホルダーや消費者は、サイバー脅威の防止、及び対応におけるCEOの説明責任を求めています。 これは、法的措置を採用しなければならない可能性があるサイバー脅威インシデントに特に当てはまります。

現在、サイバー攻撃やデータ侵害の被害は拡大しており、サイバーセキュリティ対策とリスク管理はほとんどの組織にとって極めて重要な課題となっています。 CEOおよび取締役会のメンバーが事業計画や事業遂行に組み入れなければならない、「サイバーセキュリティに対する価値観」が明らかに必要とされています。

 すべての進歩的なCEOや取締役会が検討しなければならない、8つのサイバーセキュリティに対する価値観を提言したいと思います。

1: 組織のサイバーセキュリティの対策に関するすべての事項について、単一の窓口となる取締役を任命し、オーナーシップを設定する
企業のCEO、CISOおよび取締役は、組織全体のサイバーセキュリティ対策に責任を持つ部門について説明責任を負う必要があります。 経営幹部は、サイバーセキュリティリスクを増大させることなく、組織内の全員が与えられた役割を遂行できるようにするためのポリシーを確実に実施する必要があります。 上層部によるリーダーシップは、現場やミドルレベルの組織階層における混乱や権力闘争を防ぐために重要になります。

2: リスク選好度、および特定されたリスクに対する組織的な閾値を定義・検討するための明確な枠組みを構築する。 組織固有のサイバーセキュリティリスクを評価および管理する。

まず、貴社のビジネスが「サイバー脅威のインパクトを受けない」という仮定から離れてください。 むしろ、「この組織では起こりえない」という考えよりも、「何が・いつ・なぜ・どうやって」起きうるかと考えることの方がより生産的です。 次に、組織の重要な資産を特定し、サイバーセキュリティ侵害が発生した場合の影響を分析・特定します。

これらのリスクアセスメント後、主要なセキュリティ対策をリスト化し、予算を配分し、迫っているサイバー脅威とその原因を回避する方法について従業員を教育することができます。 常に、組織のセキュリティ関連目標の計画、実行、および管理に関して、厳しい質問をしてください。

3: 明確なサイバーセキュリティの目標を掲げ、その目標を全社的な事業戦略およびリスク管理戦略と統合します。

サイバーセキュリティ目標に対する進捗状況が常に取締役会に報告されている、との注意を含めることが有効です。

4: サイバーセキュリティ目標の立案、実行、テスト、および反復ベースの改善について、詳細な計画を立案します。

サイバーセキュリティリスクは測定可能なものでなければなりません、サイバーセキュリティイニシアチブをサンプリングして定量化できることを確認してください。

5: 自社に対する潜在的なサイバーセキュリティ脅威について、脅威を分析・可視化し、適切な状況認識を確保する。

6: 取締役会は、定量的なデータを元に、組織のサイバーセキュリティ対策について報告する責任をある取締役に持たせる必要があります。 取締役会では、組織のサイバーリスク管理フレームワークを踏まえ、進化するサイバー脅威に関する詳細な議論を含めるべきです。リスク管理フレームワークは、セキュリティ予算の確保や人員配置を加速させます。 認証基準やコンプライアンス基準も優れていますが、業界におけるベストプラクティスおよび業界標準に従うことは、依然としてサイバー脅威に対する最優先事項です。

7: 適切な人財を雇用することが重要です。

組織のサイバーセキュリティ対策は、それを担う人財と同じくらい優れています、すなわち有能な人材は優れたセキュリティ対策を実現します。知識豊富で独創的な人財は、日常的な意思決定をするために大胆さを兼ね備えていない人々よりも、サイバーセキュリティを担当する上ではるかに効果的です。 サイバーセキュリティが全ての物事における役割を拡大していることから、関連するスキル、知識、および能力を適切に保有する人財を必要とするということは当たり前のことになっています。 優れたサイバーセキュリティ担当者は、組織全体の健全なサイバーセキュリティ対策にとって非常に重要です。

8: サイバーセキュリティに関する計画は、独立した部門別のサイロではなく、組織全体で試験されるべきです。 例えば、基本的なインシデント、あるいは大規模なサイバーセキュリティインシデントへの対応方法について、組織の各部門担当者間で共通の知識が必要です。 また、そのようなインシデントレスポンス計画では、インシデントをいつ次のリーダーシップレベルにエスカレーションすべきかを明確に定義する必要があります。

 CEOおよび取締役会メンバーとして尋ねるべき、貴社のサイバーリスクに対する「感受性」を試す質問:US-CERT(United States Computer Emergency Readiness Team)によれば、以下のような質問が組織内のサイバーセキュリティに関する効果的な議論を始めるのに役立つとされています。

  • 現在のサイバーセキュリティリスクのレベルはどのくらいか?現在の対策による潜在的なビジネスへの影響は何か?
  • それぞれのビジネス部門は、サイバー脅威によってどのような影響を受けると考えられるか?サイバーセキュリティに関する日常的な運用は情報技術(IT)だけに適用するものか、あるいは全社的なものか?
  • 自社のサイバーセキュリティインフラストラクチャはリスクに晒されているか?
  • セキュリティ脅威についてリーダーシップチームに通知するための基準は何か?
  • どのような種類の、重要な企業情報が危険に晒されているか?
  • 特定されたリスクに対処するための現在の計画は何か?
  • 自社従業員に対し、どのような種類のサイバーセキュリティトレーニングが提供されているか?
  • 内部犯行に対し、どのように対策を行うのか?
  • 自社は第三者とサイバー脅威情報を共有しているか? もしそうなら、どのような組織を共有しているのか?
  • 自社において、どのような情報共有方法が安全かつ採用可能なのか?
  • 安全な情報共有方法を利用して、自分達の業界のセキュリティ関連情報を共有するコミュニティを構築する方法は何か?
  • 測定可能な基準によって、サイバーセキュリティへの取り組みの状況を追跡できているか?
  • サイバーセキュリティにおけるベストプラクティスや業界標準を順守しているか?
  • サイバーセキュリティインシデント対応計画はどの程度まで詳細に準備されているか?
  • 自社のディザスタリカバリ戦略はどの程度包括的か?
  • 自社のサイバーセキュリティ侵害がより大きなアジェンダにつながる場合、地方自治体、州および連邦の機関、調査官、およびサイバーインシデント対応者とどのように調整する必要があるか?

最後に、ベストプラクティスと業界標準を遵守することで、実証済みで考え抜かれたセキュリティ対策を実現でき、サイバー脅威への対応がより構造化されます。 CEOや取締役がサイバーセキュリティという経営課題にしっかりと関与することで、企業はより積極的にサイバーセキュリティに対応する文化を推進することが出来るようになります。

Kumar Ritesh
Chairman and CEO at CYFIRMA