サイバーセキュリティをめぐる取締役会の協議が変化してきました。セキュリティチームはもはや単なる技術専門家ではなく、サイバー脅威に対するビジネスレジリエンスの設計者と見られています。この変化の背景にあるのは、サイバー攻撃の増加、地政学リスクの増大、デジタルトランスフォーメーションです。
取締役会は今、より多くの戦略的知見の提供をセキュリティリーダーに期待しています。最新ファイアウォールのインストールや規制遵守の報告はもちろんですが、それ以上の情報が求められているのです。取締役が理解したいのは、いかにしてサイバー戦術をビジネス戦略や株主価値へと昇華させるか。そのために大事なのが対話であり、セキュリティチームには、サイバー用語をビジネス感覚に落とし込むことが求められています。
では、 取締役会が知りたいことは何でしょうか?優先事項は?セキュリティチームに求めるものは?この記事では、取締役会のサイバーセキュリティ関連優先事項と、セキュリティリーダーが取締役会と効果的に対話するための方法について考えます。
従来、取締役会はサイバーセキュリティを、技術チームがどこか遠くのサーバールームで担う分野だと考えていました。サイバーリスクは抽象的で、実感しづらかったのです。しかし、今は違います。それは、EquifaxやColonial Pipelineといった大量データ漏洩の影響を見れば明らかです。これらの攻撃は特大のビジネスインパクトで大企業を震撼させ、サイバーリスクは明白かつ現在の危険として改めて認識されるようになりました。
米国証券取引委員会(SEC)がセキュリティリスク開示規則を新たに制定したことも、この脅威の大きさを裏付けています。SECは、重大なサイバーインシデントの速やかな公表とサイバーセキュリティ対策プログラムの年次開示を義務付けることによって、サイバーリスクを前面に押し出し、注意を促しています。SECのGary Gensler委員長曰く、「火事で工場を失うのも、サイバーインシデントで数百個のファイルを失うのも、投資家にとっては重大事件です。」サイバーインシデントの評価、開示計画、セキュリティプログラムの評価に取締役会が深く関与しなければならない時代なのです。
取締役会は、サイバーリスクの大きさは把握しても、脅威やベクトル、コントロールに関する専門用語を知らない場合が多く、このギャップが戦略的な対話の障害になります。取締役会としては、サイバーリスクとビジネス成果を明らかに関係付ける知見と、明確なリスク対策計画が必要なのです。
セキュリティリーダーが果たすべき役割はギャップの橋渡しであり、技術専門用語ではなく率直なビジネス用語で取締役に説明しなければなりません。顧客の信頼、サービスの耐障害性、市場におけるポジションなどビジネスの優先事項の文脈中に脅威を位置づける必要があるのです。
SECの新規則制定は、サイバーリスクとビジネスリスクは永遠に切っても切れないことを裏付けています。セキュリティリーダーの報告も、こうした新たな現実を反映する必要があります。取締役会が警戒を強める今、私たちがすべきは進むべき道を示すことです。
さて、サイバーセキュリティの投資利益率(ROI)をどう証明すればいいか、という問題があります。取締役会はセキュリティ投資への関与を深めていますが、いくら投資していくら利益が出るかという類のROIを期待しているわけではありません。むしろ、知りたいのはセキュリティ投資とより安全かつ堅牢なエンタープライズアーキテクチャとの相関関係です。
ここで興味深い演習をしてみましょう。次回の取締役会に備える際に、単に数字を伝えるだけでなく、インパクトを与える伝え方を考えましょう。ストーリーで綴るのです。理想を語るのではなく、あなたのチームのすばやい行動によってサイバー攻撃の惨事をどう回避したかを実例を挙げて話すのです。例えば、VPNの代替としてZero Trustネットワークアクセスを導入し、真新しいXDRシステムをデプロイしたとします。では、それによってユーザーを保護する能力がどう変化し、インシデント対応時間を短縮したのでしょうか?もちろん数字ほ報告は必要ですが、その数字でストーリーを展開するようにしてください。
確かに、成功の定量化が難しい場合もありますが、評判向上など把握しづらいメリットでさえ、メトリクスを代用して価値を評価することができます。大事なのは、リスク軽減プログラムとそのための支出を、企業の健全性とパフォーマンスに紐づけることです。
このような見方をすれば、サイバーセキュリティはコストセンターからビジネスレジリエンスを高める戦略的機能へと変わります。賢明な投資なら、セキュリティが競争上の盾となり、インテリジェントなリスク許容によって成長が可能であることが実証されます。こうして大局的に見た成果こそが、取締役会がこだわる真のROIです。
不明瞭な最新サイバーセキュリティの世界を進む上で厄介なのが、人工知能の問題です。生成系AI(GenAI)をサイバーセキュリティ戦略に組み込むと、取締役会は姿勢を正して聞き、メモを取り、やはり怪訝そうな顔をするでしょう。
取締役会がAIに対して少し神経質になるのは何故でしょうか?AIチャットボットを例にとりましょう。AIチャットボットはカスタマーサービス自動化の驚異的ツールですが、偽情報拡散やデータ漏洩の手段になった時はどうなるでしょうか?取締役会は、AIを導入する際は適正なガバナンス、説明可能性、フェイルセーフが整っているという安心感が欲しいのです。
顔認識、AIの著作権、そしてディープフェイクというパンドラの箱をめぐる倫理的難問は、単にストリーミング配信番組で描かれる暗黒世界のテーマではありません。現実にあり、まさに今起こっている問題です。しかも、取締役は単なる傍観者ではなく、AI駆動型サイバー脅威の標的になり得る存在なのです。そこで、彼らがさらなる攻撃ベクトルにならないように、具体的にどのような保護措置を講じますか?取締役会は単にAIを「協議」するのではなく、疑問を呈し、精査します。サイバーセキュリティチームは注目を浴び、必要とされる答えを提供する立場にあります。
取締役会では、セキュリティの語られ方が変化しています。部署ではなく文化として語る傾向が強まり、「セキュリティは皆の責任」という合言葉が戦略レベルまで格上げされているのです。
従来は人的ミスがセキュリティのアキレス腱でしたが、逆の見方をすれば人的要素は資産になり得ます。従業員の訓練を単にコンプライアンスの確認に終わらせず、戦略的な武器として使うことが可能なのです。
想像してみてください。よく訓練された従業員が、数百万ドルの損失を招きかねないフィッシング攻撃を阻止するケースです。ぜひ聞きたい話ですよね。人的要素はバグではなく、機能なのです。悪性リンクをうっかりクリックしてしまったユーザーを責めるのは、もう止めましょう。むしろ、従業員をサイバーセキュリティに関与させて熱意をもって取り組ませ、社内に責めない文化を作り上げましょう。ユーザーが安全に仕事し、不審なものを見つけたら報告しやすいようなサイバー攻撃対策を整備しましょう。そして、取締役会も含めたセキュリティ文化の醸成を心がけましょう。セキュリティ文化は、取締役会から全社に浸透し、日々の行動を通じて醸成されるのが理想的です。
SolarWindsの情報漏洩事件を思い出してください。この事件は、確かにサイバーセキュリティイベントと分類されていますが 、本質的には無秩序に展開される地政学的な物語の一節だったのではないでしょうか?サイバーセキュリティの土俵が企業の境界を優に超えることを、取締役会は百も承知です。サイバーセキュリティは今や、グローバルな情勢と切り離せないものになっているのです。
地政学的情勢は今や、サイバーセキュリティに関する対話で必ず触れられる話題になりました。地政学的情勢によって、国家の脅威、ハクティビスト、データ主権、プライバシー、国際コンプライアンスなど、何らかの厄介な問題が加わります。そうした話題を他人事と考える姿勢は止めることにしましたよね。今や自分たちの問題でもあるのですから。それは、「重要インフラ」といわれる業界で働く人に特に顕著にいえることです。
では、自分の責任範囲はどうなるでしょうか?答えは、取締役会と同じ視点で考える立場になる、です。次の取締役会レベルのミーティングでは、移り変わる地政学的情勢が自社のサイバーセキュリティ戦略にどう影響するかについて、何らかの知見を披露しましょう。きっと耳をそばだてて聞いてくれるでしょう。
従来コストセンターと考えられていたサイバーセキュリティは、戦略的な意思決定に貢献するビジネスユニットに進化しました。この捉え方の変化はセキュリティチームにとって、近年最大のパラダイムシフトです。取締役会はそのことを知っており、あなたにも認識してもらいたいと思っています。
では、取締役会とどう対話すればよいのでしょうか?侵入検知の最新統計やファイアウォールの効力を示すだけでは不十分です。サイバーセキュリティが企業という船の安定を保つ竜骨として機能し、強風や荒波(「市場機会とビジネスイノベーション」参照)を転覆せずに乗り越えられるようにしている実態を描写しましょう。
セキュリティをビジネスモデルの中核にシームレスに組み込む戦略の匠になることを、何が阻んでいるのでしょうか?おそらく昔からの習慣と時代遅れの認識だけで、他には何もないでしょう。今、目覚めのラッパが鳴っているのだと考えてください。次の取締役会は情報アップデートに終始せず、啓示を与える場にするのです。守護者から案内人へ、城門の守り人から先導者へ、変革の舞台は整いました。さあ、転換の準備をしましょう。
準備はいいですか?「ノー出しの部署」から、会社が戦略的「イエス」を宣言できるようにする触媒の役割へと、転換する決意は固まっていますか?
William Gibsonは言いました。「未来は既にここにある。ただ、均等に行き渡っていないだけだ」と。今こそ、サイバーセキュリティの知恵を社内により広く広げる時。手始めは取締役会です。これからは、「取締役会」という言葉を聞いてスポーツ観戦をイメージするのではなく、ビジネスの未来を形作る戦略的プレイヤーとして呼ばれているのだと自覚してください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
John Engates — @jengates
Cloudflare社テクノロジー・オフィサー
この記事を読めば、以下が理解できます。
部署から全社的文化へ、セキュリティのパラダイムシフト
取締役会でのセキュリティに関する対話をレベルアップする方法
数字より、インパクト を与えることが重要