SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

なぜ重役会議ではセキュリティ対策が議論されないのでしょうか

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

 

A

もちろん重役たちもセキュリティ対策に関心はあります。しかし、セキュリティ対策の担当者は結局、CEOに直談判しているのが現状です。なぜでしょうか。

ほとんどのビジネスでは、今やインターネットセキュリティは喫緊の課題と認識されています。ただし、最近の調査によると、セキュリティ対策の担当者の7人のうち1人はCEOに対して直接に報告を上げています。

情報システムコントロール協会(ISACA/RSA)の会議レポート「サイバーセキュリティの現在――2016年に向けて意味するもの」によると、82%の情報セキュリティ担当者が、自社の重役たちはサイバーセキュリティについて非常に関心を持っているにもかかわらず、この危機感はいまだ重役会議には反映されていない、と感じています。

「CEOなどトップレベルの重役たちはサイバーセキュリティの重要性をかなり理解してきているが、まだまだ改善の余地がある」と、RSA 会議の責任編集者であるジェニファー・ラウィンスキー (Jennifer Lawinski)氏は指摘しています。

大半の最高情報セキュリティ責任者 (CISO)は、最高情報責任者(CIO)に対して説明対応を行っているのです。これはサイバーセキュリティというものがビジネス上の問題ではなく、今なお技術上の問題と見られていることを表しています。

この調査結果は、会社が将来、情報セキュリティがしっかりとしている組織へと成長するために何が必要かを明らかにするとともに、その契機と現状の問題点との食い違いを際立たせていると言えるでしょう。

重役会議における議題の優先事案とはなっていませんが、セキュリティ担当者の大多数は最悪の事態に備えて準備しており、調査対象の74%は2016年中にサイバー攻撃を受けることを想定しています。

実際「ビジネスワイヤー」に報告されているように、30%に及ぶ人たちがフィッシング攻撃を毎日経験しています。2016年2月下旬には、スマートフォン向け画像共有アプリ「スナップチャット」の社員が、その手の攻撃者に給与関連の明細をさらしてしまったという実例もあります。

こうしたことから担当者の自信は減じる傾向にあり、自分のチームが異変を検知してそれに対応する能力があると自信を持っているセキュリティ担当者の数は、2015年には12ポイントも減少するといったありさまでした。

しかし一方で、この業界内には「現状についての無自覚」と言われている状況も幅を利かせています。

例えば、サイバーセキュリティを自らの第一の責務とする担当者のうち24%が、2015年中にどのようなセキュリティ認証情報が盗まれた事例があるのか知りませんでした。また、23%は自分の会社が高度に執拗な標的型攻撃(APT)を受けていたかどうか分からなかったし、20%がボットネットの利用のために会社の資産が乗っ取られたことがあるかどうかも判然としませんでした。

サイバーセキュリティついての学習機会がもっと必要だという意識が高まる兆しは以前からなかったとは言えませんが、このレポートの指摘はその必要性を新たに思い起こさせてくれるものではないでしょうか。

実際のところ、61%の担当者が2016年にはサイバーセキュリティの予算が増えることを期待していますし、75%は彼らの組織のサイバーセキュリティ戦略の立案が今や企業活動の目的の一つであるとさえ答えています(英文のレポート全文はISACAのサイトから ホワイトペーパーをダウンロードして読むことができます)。

対戦型のスポーツにおいては、常に攻撃と防御が一体化してはじめて勝利に結び付いています。企業活動においても、セキュリティ対策という防御を怠るようであれば、思わぬ失点を招きかねません。セキュリティ担当者自身も学習機会を増やす必要があるという課題がありますが、それとともに重役会議では当たり前のようにセキュリティ対策について議論されるようになってしかるべきではないでしょうか。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!