企業のセキュリティ対策について、米国では株主から役員に対してサイバー訴訟のニュースが後を絶ちません。某大手金融サービス企業や、IT企業ではランサムウェア攻撃に関して過失があったとして集団訴訟を受け、サイバーセキュリティシステムの不備が根本的な問題であると指摘されたケースがありました。
これらのニュースは、企業がサイバー攻撃との戦いを続ける中で直面するリスクを浮き彫りにしています。サイバー攻撃を受けた企業は、ダウンタイム、データの損失、収益の損失、企業の評判の低下、公的機関からの罰金など、直接的かつ明白な影響に悩まされ続けています。しかし、今、その影響はさらに大きくなっています。より多くのサイバー事件が、消費者、投資家、その他の影響を受けるステークホルダーから、企業や取締役会自身が機密情報を保護するためにもっと熱心に行動すべきだったと主張する集団訴訟の引き金となるのが常となってきています。
もちろん、事実上すべての企業が、近年、サイバーセキュリティの実践を向上させるために何らかの措置を講じています。大手企業での大規模な情報漏えい事件は、企業のセキュリティ意識を高め、IT 関連の意思決定者に企業ネットワークの強化やポリシーの強化を迫る結果をもたらしました。
しかし、情報漏えいは後を絶たず、訴訟も後を絶ちません。問題は、多くの企業がまだサイバーセキュリティを組織全体の真の優先事項として位置づけていないことです。これは、どちらかというと中小企業に当てはまる傾向にありますが、一部の大企業でも未だ問題になっています。その多くは、セキュリティ戦略の策定と実行を、バックオフィスのIT管理者に頼っています。また、多くの企業は、ビジネスリーダーをサイバーセキュリティ戦略に十分に関与させておらず、サイバー脅威を取締役会の重要な議題として取り上げていないことも挙げられます。
ここでは、企業が経営層レベルでサイバーセキュリティ対策を優先させるための 4 つの基本的なステップを紹介します。
経営層のサイバースキルを強化する
取締役会は、サイバーセキュリティ対策に積極的な役割を担う必要がありますが、その前に取締役がその役割を果たせるかどうかを見直す必要があります。
これは、取締役がスタッフの IT およびビジネスリーダーと改善策を議論することにとどまりません。取締役は、サイバーセキュリティの継続的な課題に対応するために、自己のスキルを高めていく必要があります。
取締役会は、まず取締役のサイバースキルレベルを評価し、サイバーセキュリティ問題における専門家を 1 人以上採用することから始めてもよいかもしれません。このようなサイバー専門家は、分科会を率い、サイバー戦略についてビジネスおよび IT リーダーとより直接的に関わることができるようになります。
次に、取締役会全体が、日々刻々と変化するサイバーセキュリティの状況を正しく理解するために、年 1 回または年 2 回のトレーニングを受けることが望ましいです。サイバー問題に精通した取締役会は、リスク、責任、技術的な問題によりよく対処することができ、彼らが下すべき戦略の意思決定に役立てることができます。
自由な情報交換の場を設ける
取締役会の立ち上げ後は、サイバーリスクと戦略に関する一貫したコミュニケーションを促進する仕組みを構築することが、経営陣の責務となります。経営陣は、サイバーセキュリティのリスクに関連する計画、手順、および継続的な問題について、緊密に交流する時間を確保する必要があります。この仕組みには、ビジネス、IT、法務、人事、マーケティングなど、さまざまな部門を横断して組織することが重要です。サイバーセキュリティに関するテクノロジーは依然として IT 部門が管理していますが、戦略と実施はすべての部門にまたがり、取締役会にも及ぶことになります。
取締役会の継続的な責任として、交流が必要であり、管理職は教育者、ファシリテーターとしての役割を果たすべきでしょう。
経営層をプロジェクトリーダーに指名する
サイバーセキュリティへの関与は部門を横断して行われますが、対応計画の作成を一個人の手に委ねることが重要です。その担当者は、計画全体を策定する必要はありません。しかし、責任者は、組織全体の変化を促し、合意を得るための権限を持つリーダーであるべきです。理論的には、最高情報責任者(CIO)、最高情報セキュリティ責任者(CISO)、または最高セキュリティ責任者(CSO)が、この任務に適しているはずです。
しかし、このポジションにビジネスリーダーを据えることは、組織にとってより理にかなっているのです。ビジネスリーダーは、テクノロジーよりも、収益を生み出す活動や業務に関連する職務に就いています。この人物は、テクノロジーリーダーと関わりながらも、ビジネス戦略に重点を置いてこの仕事に取り組む必要があります。テクノロジーも重要ですが、最善の対応策は、侵害に備え、侵害が発生した場合にどのように事業継続を維持するのが最善であるかに基づいて策定します。
組織全体での役割分担
CSO と CISO が企業のセキュリティ課題を策定することに変わりはありませんが、他のリーダーも積極的な関与していく必要があります。最高財務責任者(CFO) は、会社のすべての財務プロセスにセキュリティレベルが組み込まれていることを確認する必要があります。人事担当者は、新規採用者をより熱心に審査し、社員が安心してセキュリティ対策に取り組めるようにするためにパイプ役を務める必要があります。営業部門のリーダーは、特にバーチャルアクセスによってハッカーの格好の餌食となる出張中の代理店に対して、「サイバー衛生(セキュリティハイジーン)」を推進する必要があります。
まとめ
“物言う株主(アクティビスト)”の経営関与が増す中、企業はサイバー訴訟に発展するような大規模なセキュリティインシデントを回避するために経営体制を積極的に見直していくことが大切です。サイバーセキュリティをリーダーシップレベルの問題とし、それを組織全体、さらには取締役会まで拡大することは、正しい成功への一歩へつながることになるのです。
この連載の記事
-
TECH
ビジネスリーダーが知っておくべき、サイバーセキュリティ対策3つのポイント -
TECH
ランサムウェアは誰でも感染する可能性がある ―すべてが失敗することに備え、データ保護戦略を策定せよ -
TECH
ランサムウェア対策にはサイバー警察局の実効性も重要だが、“データ復旧”が不可欠なことに変わりはない - この連載の一覧へ