経営層におけるサイバーセキュリティへの関与の実態

「私が最終的に責任を取る（The buck stops here）」という経営層の役割を的確に表現した格言があるのをご存じでしょうか。
これはつまり、企業の経営層は、ビジネス上クリティカルとなるテクノロジー資産などを含め、管轄するビジネスのすべての側面に対して最終的な責任を負うことを意味しています。

サイバー脅威が増大し続ける昨今においては、トップダウンでセキュリティ対策の強化に取り組む必要があります。
調査会社であるEnterprise Strategy Group（以下、ESG）は、北米と西ヨーロッパの地域における365人の経営幹部・サイバーセキュリティ担当者・IT技術者を対象に、経営層とITチーム間のコミュニケーション、コラボレーション、そして生産性の評価を行ったうえで、組織内でのセキュリティとビジネスの整合性を高めるための改善点を提案しています。

CEOや役員が指針を示して
組織をリードする必要性が高まっている
ESGの調査によると、回答者の82%が「過去2年間にサイバーリスクが増大した」と回答しました。
主な原因は以下があげられます。

脅威の増大
企業の攻撃対象領域の拡大
組織とビジネスプロセスがこれまで以上にテクノロジーに依存していること

依然としてセキュリティは「主に (41%)」または
「全面的に (21%)」技術的な課題とみなされている過去12カ月間にデジタルトランスフォーメーションプロセスの採用が着実に増加していることを考慮すると、これは憂慮すべき数値です。経営層については、セキュリティへの関与が不足しています。
つまりCISOの多くは、コンプライアンスとデータ保護要件を満たすことを目的とした必要最低限な資金しかセキュリティに投入したがらないということです。

ほとんどの組織は「必要十分なセキュリティ」で
満足しているセキュリティ専門家の間では、経営層が資金を投入するのは、組織が規制を遵守し、基本的な保護を実現するためのサイバーセキュリティ担当者、プロセスおよびテクノロジのみであることを嘆いています。残念ながら、この問題は依然として多くの組織で起こっています。

調査対象者の54%が組織におけるサイバーセキュリティへの取り組みを「普通」「最低限」または
「消極的」と評価経営層のサイバーセキュリティへの取り組みを「普通」または「最低限」と評価したのは41%です。
経営層による関与が不足していると、サイバーセキュリティが不十分になり、セキュリティとビジネスプロセスが適切に統合されなくなる可能性があります。

サイバーセキュリティとビジネスとの整合性を
高めるために何ができるか？経営層がもっとサイバーセキュリティに関与し、知識を高めれば、より専門的な質問を投げかけ課題を掘り下げることができるようになるでしょう。そして、サイバーセキュリティの課題をビジネスの課題として考えることができるようになります。

ビジネスとサイバーセキュリティの整合性を高めるためにESGの調査回答者が支持したアクショントップ3

セキュリティチームを早い段階から事業計画や主要な戦略会議に参加させる（33%）
経営層に対するセキュリティトレーニングを改善・強化する（33%）
サイバーリスクに関する意思決定を向上させるために、データの収集や分析を改善する（32%）

ビジネスとサイバーセキュリティのギャップを
埋めるために回答者が支持する解決策

ビジネスインフォメーションセキュリティマネージャー（BISO）を雇用・任命し、ビジネスプロセス、重要資産、機密データ、従業員の役割などのセキュリティを詳細に管理する。
KPIを活用してトップダウン方式で体系化および文書化し、CISOが他の経営層とよりよいコミュニケーションをはかれるよう、プログラム化を行う。
CSIOがCEOの直轄となるように組織構造を変更する。つまり、これにより、CEOがセキュリティ課題を認識する機会が増え、サイバーセキュリティチームがビジネスに与える影響が大きくなる。

取り組みが進んでいる組織における、セキュリティ部門の経営層とビジネス部門の経営層との関係に関する貴重な洞察を得て、先進的な企業とそうではない企業との違いを比較していただければと思います。

ぜひ、ESGの「Cybersecurity in the C-Suite and Boardroom（経営層におけるサイバーセキュリティへの関与の実態）」をご一読ください。

ESGについてEnterprise Strategy GroupはITに関する分析・調査・検証および戦略立案を行う企業であり、世界中のIT企業に実際的な見解や情報を提供しています。