サイバーリスクマネジメント - 経営層を巻き込むためのヒント
経営の重要な要素となったサイバーリスクマネジメント。実現のためには、ビジネス部門や経営層の理解が不可欠です。組織のサイバーリスクに関する調査から、実現の課題とヒントを探っていきましょう。
犠牲にされるサイバーセキュリティ ランサムウェアなどサイバー攻撃による被害の深刻化を受けて、セキュリティ投資の動きが広がっている、組織のこうした動きがトレンドマイクロの調査で見えてきました。
※BUSINESS FRICTION IS EXPOSING ORGANISATIONS TO CYBER THREATS(2021年11月)
https://www.trendmicro.com/explore/en_gb_trendmicro-global-risk-study
この調査では、日本を含む26の国と地域のITの意思決定層約5000人に、サイバーリスクへの組織の取り組みや課題を聞きました。結果、9割以上が具体的な脅威としてランサムウェアをあげ、さらに約半数がランサムウェア対策や侵入対策のためセキュリティ投資を増加させたと回答しました。
また、ビジネスリスクを軽減するため、組織が最も投資している分野について、約4割がサイバー攻撃対策をあげています。これはDX(36%)や働き方改革(ワークフォーストランスフォーメーション)(27%)を上回る回答です。
サイバー攻撃被害の深刻化をうけ、一定の対策強化が進んでいる一方で、ITの意思決定層は、自組織のサイバーセキュリティに対して大きな懸念を抱えていることが調査で見えてきました。90%以上が「自組織はDXなどの他のビジネス目標を優先し、サイバーセキュリティを犠牲する可能性がある」と、懸念を示しているのです。
短期的な利益の優先は、結果的に経済的損失や風評被害などを含むサイバーリスクに見合うものではありません。国内外において、サイバー攻撃による深刻な被害が報告される今、サイバーリスクをビジネスリスクとして捉え、経営の優先事項として対処していくことが重要です。
それでは、ITの意思決定層の懸念は、組織のどのような課題からくるのでしょうか。調査を詳しく見ていきます。
経営層はサイバーリスクを理解していない 調査において、ITの意思決定層の約半数(49%)は、サイバーリスクは、ビジネスリスクではなく、いまだITの問題として扱われていると主張しています。同様に半数(50%)は、自組織の経営層はサイバーリスクを正しく理解していないと、不満を表しています。
実際、ITの意思決定層の80%以上は、経営層からサイバーリスクを軽く見積るよう、プレッシャーを受けたことがあると回答し、多くの回答者は経営層がサイバーリスクに気が付くのは、組織が侵入を受けた場合(62%)、顧客がセキュリティ強化を要求した場合(61%)だとしています。
ITの意思決定層が示した、自組織のサイバーセキュリティに関する判断への懸念の背景には、経営層のサイバーリスクへの理解不足があることあることが見えてきます。
ここ数年で、多くの組織は、リモートワークの採用や、クラウドを利用した新しいビジネスインフラの構築など、デジタルプロジェクトに多額の投資を行ってきました。結果、セキュリティが行き届いていない端末やクラウドインフラが増加し、攻撃のリスクも高まっています。世界的にサイバーリスクが高まる今、ITの意志決定層には、経営層にサイバーリスクを正しく伝えていくことで、セキュリティを犠牲にさせることなく、デジタルプロジェクトの推進を支援することが求められています。
それでは経営層の理解を得るためには、どのようなアプローチが有効なのでしょうか。
経営層を巻き込むためのヒント サイバーリスクをビジネスリスクに訳して表すことが、ビジネスとサイバーセキュリティの戦略を一致させるための最初のステップであり、経営層の理解を促すアプローチとして重要になります。
セキュリティ侵害がもたらすコストとビジネスへの潜在的な影響は、経営層に響くはずです。ある試算によれば、今日の情報漏えいの総コストは420万ドル以上(約540百万円)とされています※。ランサムウェアの被害では、売上高の損失、生産性の低下、IT部門の超過勤務など、一般的な試算を大きく上回る損失を出すケースもあります。
※Average Cost of Data Breach Exceeds $4.2 Million(2021/7/28)
https://www.securityweek.com/ibm-average-cost-data-breach-exceeds-42-million
またセキュリティの取り組みの形式化やビジネス部門におけるセキュリティ役員の配置など、組織運営にセキュリティを組み込んでいくことも有効です。以下に、経営層のサイバーリスクの理解を促し、組織的にセキュリティ向上の取り組みを進めるヒントをご紹介します。
① KPIや測定基準を使い、サイバーセキュリティの形式化を進める。KPI と測定基準が明確に示された戦略は、経営層のサイバーリスクの理解を高めることに役立つでしょう。
② ビジネス情報セキュリティ責任者(BISO:Business Information Security Officer)という新しい役割を検討し、セキュリティをビジネスプロセスに組み込み、セキュリティとビジネスのゴールを一致させる。
③ ITの意思決定層が、経営層に直接報告できるラインを構築する。経営層は自組織のサイバーリスクを常に理解し、IT意思決定層はビジネスの動きをいち早くとらえることができます。
④ IT環境全体(エンドポイント、サーバ、クラウドワークロード、ネットワーク、メール)にわたりセキュリティを管理するプラットフォームを導入し、組織のサイバーリスクのレベルを常に可視化する。
このような取り組みを通じ、サイバーリスクに関して経営層と共通のコミュニケーション方法を構築することで、経営層の投資や対処の適切な判断を支援し、サイバーセキュリティに起因するビジネスリスクに対処することが可能になるでしょう。
統合サイバーセキュリティ・プラットフォーム「Trend Micro One」について
組織全体の可視化、検知、対応と、攻撃対象領域のリスクライフサイクルに必要なセキュリティ機能を包括的に提供します。
https://www.trendmicro.com/ja_jp/business/products/one-platform.html
Security GO新着記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
(2024年11月22日)
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)