最近の多くの目立った攻撃をみると、ますます執拗かつ巧妙になる脅威に対し、組織がどれほど脆弱であるかわかります。取締役会はこれを認識しつつあります。少し前までボードメンバーは、セキュリティを情報セキュリティ最高責任者 (CISO) または CIO の問題としてとらえていましたが、今は取締役会レベルで議論されるようになっています。
プルーフポイントと Cybersecurity at MIT Sloan (CAMS) による新しいレポート、「Cybersecurity: The 2022 Board Perspective (2022 年取締役会におけるサイバーセキュリティの展望)」によると、セキュリティが取締役会において大きな議題となっています。プルーフポイントでは、世界中 600 人のボードメンバーを対象に調査を行いました。そのうち 77% が、セキュリティが取締役会にとって最優先事項であることに同意しており、76% が 1 か月に 1 回以上このテーマについて議論しています。この関心の高まりにより、取締役会は、自分たちの取り組みが成果を上げると考えています。4 分の 3 が、システミック・リスクを明確に理解できていると考え、76% が適切なセキュリティ投資を行っていると考えています。
しかし、セキュリティ侵害が急速に増加している現状と、レポートで報告されているデータをふまえると、そうした議論からは、備えとレジリエンスを強化するための最適な取り組みが生まれていません。調査にご協力いただいたボードメンバーの 3 分の 2 近くが、今後 12 か月において重大な攻撃リスクにさらされていると考え、ほぼ半数が、標的型攻撃に対する備えができていないと考えています。
ボードメンバーの見解と、最近の 2022 Voice of the CISO (CISO意識調査) レポートによる知見を比較した結果、意識が行動に結びついていない理由がいくつか見出されました。両者の間に隔たりがあります。リスクや脅威に関連した問題ばかりでなく、関係においてもです。
たとえば、ボードメンバーの 65% は、組織が重大な攻撃リスクにさらされていると考えていますが、情報セキュリティ最高責任者 (CISO) でそう考えているのは、わずか 48% です。CISO が知っており、ボードメンバーが知らないことは何でしょうか?CISO は技術的な専門用語ばかり使うため、取締役会には CISO の説明が理解しづらいのでしょうか?
または両者の関係に溝があるのでしょうか?レポートによると、ボードメンバーの 69% が、CISO とは見解が一致していないと答えています。しかしそのように考えている CISO はわずか 51% です。互いにどれほどわかり合えているのか。そのことにさえ意見が分かれている有様で、セキュリティに関する重要な見解について足並みを揃えることができるのでしょうか?優先事項について意見が合致していなければ、防御戦略について取締役会のサポートを得ることは困難です。
攻撃者は、私たちがデジタル経済に大きく依存していることにつけこんでいます。ですから、取締役会と CISO が足並みを揃えることが、かつてないほど重要になっています。組織の成功には、両者の足並みを揃えることが不可欠であり、この関係が強力なものでなければ、人を守り、情報を守ることは、ますます困難になります。
このような隔たりを考慮すると、一番大きなサイバー脆弱性はヒューマンエラーである、と考えているボードメンバーが 3 分の 2 しかいないのは、驚くにはあたりません。しかし、世界経済フォーラムは、全サイバーインシデントの 95% がヒューマンエラーに起因すると述べています。人は防御の最前線であるため、各個人がこれらの脆弱性とリスクを軽減する方法を理解していなければ、組織は、内部および外部の脅威に対し脆弱になります。つまり、ボードメンバー含め、組織内のすべての人が、潜在的脅威と、守りを固めるべき領域を知る必要があります。
ボードメンバーは、セキュリティ文化と組織のレジリエンスの強化において特に重要な役割を担っています。ボードメンバーは、リスクを最小限に抑える行動を遵守するだけでなく、組織全体のあらゆるレベルにおいて優先事項を推進することにおいてロールモデルであるためです。ようやく、ボードメンバーがセキュリティにおける自身の役割を真剣に考えるようになりました。これは素晴らしいことです。しかし、こうした意欲を行動へと結びつけるために、取締役には身近な戦略的パートナーとして CISO が必要です。
詳細は、「Cybersecurity: The 2022 Board Perspective (2022 年取締役会におけるサイバーセキュリティの展望)」レポートにて、ご覧ください。
