取締役会が知りたい6つの情報
サイバーセキュリティをめぐる取締役会の協議が変化してきました。セキュリティチームはもはや単なる技術専門家ではなく、サイバー脅威に対するビジネスレジリエンスの設計者と見られています。この変化の背景にあるのは、サイバー攻撃の増加、地政学リスクの増大、デジタルトランスフォーメーションです。
取締役会は今、より多くの戦略的知見の提供をセキュリティリーダーに期待しています。最新ファイアウォールのインストールや規制遵守の報告はもちろんですが、それ以上の情報が求められているのです。取締役が理解したいのは、いかにしてサイバー戦術をビジネス戦略や株主価値へと昇華させるか。そのために大事なのが対話であり、セキュリティチームには、サイバー用語をビジネス感覚に落とし込むことが求められています。
では、取締役会が知りたいことは何でしょうか?優先事項は?セキュリティチームに求めるものは?この記事では、取締役会のサイバーセキュリティ関連優先事項と、セキ ュリティリーダーが取締役会と効果的に対話するための方法について考えます。
従来、取締役会はサイバーセキュリティを、技術チームがどこか遠くのサーバールームで担う分野だと考えていました。サイバーリスクは抽象的で、実感しづらかったのです。しかし、今は違います。それは、EquifaxやColonial Pipelineといった大量データ漏洩の影響を見れば明らかです。これらの攻撃は特大のビジネスインパクトで大企業を震撼させ、サイバーリスクは明白かつ現在の危険として改めて認識されるようになりました。
米国証券取引委員会(SEC)がセキュリティリスク開示規則を新たに制定したことも、この脅威の大きさを裏付けています。SECは、重大なサイバーインシデントの速やかな公表とサイバーセキュリティ対策プログラムの年次開示を義務付けることによって、サイバーリスクを前面に押し出し、注意を促しています。SECのGary Gensler委員長曰く、「火事で工場を失うのも、サイバーインシデントで数百個のファイルを失うのも、投資家にとっては重大事件です。」サイバーインシデントの評価、開示計画、セキュリティプログラムの評価に取締役会が深く関与しなければならない時代なのです。
取締役会は、サイバーリスクの大きさは把握しても、脅威やベクトル、コントロールに関する専門用語を知らない場合が多く、こ のギャップが戦略的な対話の障害になります。取締役会としては、サイバーリスクとビジネス成果を明らかに関係付ける知見と、明確なリスク対策計画が必要なのです。
セキュリティリーダーが果たすべき役割はギャップの橋渡しであり、技術専門用語ではなく率直なビジネス用語で取締役に説明しなければなりません。顧客の信頼、サービスの耐障害性、市場におけるポジションなどビジネスの優先事項の文脈中に脅威を位置づける必要があるのです。
SECの新規則制定は、サイバーリスクとビジネスリスクは永遠に切っても切れないことを裏付けています。セキュリティリーダーの報告も、こうした新たな現実を反映する必要があります。取締役会が警戒を強める今、私たちがすべきは進むべき道を示すことです。
さて、サイバーセキュリティの投資利益率(ROI)をどう証明すればいいか、という問題があります。取締役会はセキュリティ投資への関与を深めていますが、いくら投資していくら利益が出るかという類のROIを期待しているわけではありません。むしろ、知りたいのはセキュリティ投資とより安全かつ堅牢なエンタープライズアーキテクチャとの相関関係です。
ここで興味深い演習をしてみましょう。次回の取締役会に備える際に、単に数字を伝えるだけでなく、インパクトを与える伝え方を考えましょう。ストーリーで綴るのです。理想を語るのではなく、あなたのチームのすばやい行動によってサイバー攻撃の惨事をどう回避したかを実例を挙げて話すのです。例えば、VPNの代替としてZero Trustネットワークアクセスを導入し、真新しいXDRシステムをデプロイしたとします。では、それによってユーザーを保護する能力がどう変化し、インシデント対応時間を短縮したのでしょうか?もちろん数字ほ報告は必要ですが、その数字でストーリーを展開するようにしてください。
確かに、成功の定量化が難しい場合もありますが、評判向上など把握しづらいメリットでさえ、メトリクスを代用して価値を評価することができます。大事なのは、リスク軽減プログラムとそのための支出を、企業の健全性とパフォーマンスに紐づけることです。
このような見方をすれば、サイバーセキュリティはコストセンターからビジネスレジリエンスを高める戦略的機能へと変わります。賢明な投資なら、セキュリティが競争上の盾となり、インテリジェントなリスク許容によって成長が可能であることが実証されます。こうして大局的に見た成果こそが、取締役会がこだわる真のROIです。