企業におけるセキュリティリスクが深刻化している。この記事では、CISO(最高情報セキュリティ責任者)と情報システム部門が、長期的な観点で経営層に関与し、戦略的に施策を進めるための方法を解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。

デジタル上の安全を確保するには、さまざまな対策が求められる。サイバーセキュリティ啓発月間(CSAM)のようなキャンペーンは、パスワード管理や脆弱性に対するパッチ適用などの最も効果的な方法を一般ユーザーに再認識させる良い機会だ。このようなキャンペーンはサイバー犯罪者から消費者を守るのに役立つだけでなく、経営者に対してサイバーリスクへの注意を喚起する機会でもある。
米国では、2023年第二四半期で公表された情報漏えい件数が、四半期あたり114%増加し、最多の記録を更新する勢いで推移した。欧州では、2022年にENISA(欧州ネットワーク情報セキュリティ機関)がゼロデイ攻撃やRaaS(Ransomware as a Service)、雇ったハッカーによる攻撃、サプライチェーン攻撃、ソーシャルエンジニアリングの急増に対して警告を発している。最終的にこうした問題への対策を講じるのはCISOの役割だ。しかし、その役割を十分に果たすためには、経営層からの適切なサポートが必要となる。すなわち、経営層をセキュリティ対策プロジェクトへ積極的に関わらせることが重要となるのだ。
経営層とIT部門の連携
経営者と、ITおよびサイバーセキュリティ戦略の責任者との間では、しばしば意見の食い違いが見られることがある。一般的に情報セキュリティへの理解は、サイバー脅威を遠ざけるために必要だが、多くの経営者にとって、それ以上のものではない。つまり、多くの経営者はITやサイバーセキュリティを必要なコストだと認識しているものの、売上に貢献したり、ましてや事業を成長させたりするものとは考えていないのだ。
全世界におけるセキュリティやリスク管理に対する支出は年々拡大を続けている。しかし、その支出は適切に活用されているとは言えない可能性がある。セキュリティ投資を重視していない経営層は、情報漏えい後に場当たり的な対応、予算の投入に追われる傾向がある。そのため、十分な成果につながらず、個別のソリューションを寄せ集めても投資対効果は低いままとなる。
実際、ある調査によると、「経営者がビジネスの成功におけるサイバーセキュリティの役割を本当に理解している」と考えるセキュリティ部門の決裁者は、5分の2(39%)に過ぎなかった。また、「セキュリティは法令遵守の要件としてしか扱われていない」と回答したのも同様の割合(36%)であった。では、CISOと情報システム部門が、長期的な観点で経営層に関与し、戦略的に施策を進めるにはどうすればよいのだろうか。
以下に6つのステップを解説するので、参考にしてほしい。
1.ビジネス上のリスクを適切に伝える
サイバーセキュリティとビジネスの連携を高める最初のステップは、理解を得ることだ。そのためには複雑な技術について話すのではなく、ビジネス上のリスクについて語るべきだ。リスクを理解してもらうことで、経営層を巻き込み具体的な戦略上の施策について賛同を得られやすくなる。例えば、「ランサムウェア攻撃によって200台のサーバーが停止する可能性がある」と言ったところで、経営層は「だから何だ?」と捉えるかもしれない。しかし、その攻撃による1週間のサーバー停止が1時間当たり40万ドル(6,000万円相当)の損失につながると説明すれば、経営層の反応も大きく変わってくる。
2.リスクを計測し、重要性を理解させる
セキュリティをビジネスの観点からも理解してもらうためには、サイバーセキュリティに関する情報を事業運営に欠かせない指標へと結びつけるデータが必要だ。検討するべき指標として、現在のセキュリティ対策において何が上手くいっていて何を改善するべきかを示す、パフォーマンスと有効性に関するものが挙げられる。業界標準と比較しながら、指標を継続的にモニタリングすることは重要だ。
こうした指標を経営層に提示する際は、概要をシンプルに説明するべきだ。その際、論点を理解してもらえるよう、事例を紹介しても良いだろう。
3.セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトを推進する
世界経済フォーラム(WEF)の調査では、43%の経営者が2年以内にサイバー攻撃によって自社が「著しい影響を受ける」可能性があると回答した。経営者がサイバーリスクの重要性を理解しているのは歓迎できることだが、戦略的投資よりも、場当たり的な予算配分へ向かいつつある経営層による意識の現れとも考えられる。
CISOはサイバーセキュリティを戦略的に考えるよう経営陣を説得し、より良い成果につなげる必要がある。セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトは、GDPR(欧州一般データ保護規則)などの規制でも推奨されているベストプラクティスだ。これは、新規事業や新製品の立ち上げからセキュリティに関する考慮を組み込む考え方である。後回しにしたり、インシデントが発生してから検討したりする事態を避けられるものだ。
4.頻繁に意見交換する
世界経済フォーラムによると、毎月あるいはそれ以上の頻度で経営層に会うCISOは半数を超えていた(56%)。脅威にまつわる状況が変化するスピードを考慮すると、頻繁に会うことで経営層をセキュリティ対策へ巻き込む必要があるだろう。相互理解を深めるには、CISOをCEO(最高経営責任者)直属となるよう配置し、頻繁に接することが重要だ。CEOにとってはサイバーセキュリティに触れる機会が増え、CISOはビジネス側から直接のフィードバックを受ける機会を得られる。
5.サイバーセキュリティ施策を定型化する
場当たり的で、技術面に特化したサイバーセキュリティ施策は極めて多い。その場しのぎの対応を止めて、適切に文書化して重要な指標を計測し、トップダウン型の体制を定型化するべきだ。これは、ビジネスにおけるサイバーセキュリティの役割を強化する際に役立つ。
6.ビジネス情報セキュリティ責任者(BISO)を任命する
ビジネス情報セキュリティ責任者(BISO)は、ビジネス部門とセキュリティ部門の連携に責任を持つ部門、または事業部門上の役割だ。部門間の連携を深め、上流の戦略から具体的な業務手続きへの落とし込みを推進する。あらゆる組織が目指すべきセキュリティ・バイ・デザインの文化を醸成し、懐疑的な経営層に対して、セキュリティをビジネスのあらゆる面に組み込むべきだと示すことができる。
おわりに
世界経済フォーラムによると、昨今の地政学的な不安定さにより、経営層はCISOと同様にサイバーリスク管理の重要性を認識するようになってきたという。今や両者を合わせて91%が、今後2年以内に広範囲で甚大なサイバーセキュリティ事件が起こると考えている。実施するべき取り組みは多く残されおり、多くの企業では重要な経営層を巻き込み賛同を得るのに、数カ月から数年を要するだろう。今後は経営層だけではなく、CISOも考え方を変えていかなければならない。この記事を参考に、経営層と連携を取りながら企業のセキュリティを戦略的に強化してほしい。