セキュリティ担当者と経営層にはなぜ溝があるのか？

はじめに

サイバーセキュリティリスクはビジネスリスクの一部であり、経営層の積極的関与の重要性が叫ばれるようになって数年が経過しましたが、現状はどうでしょうか。トレンドマイクロでは、北中南米、アジア太平洋、欧州、中東の約2,600人のセキュリティ担当者にインタビューを行いました。2024年５月に公開されたそのレポートからは、依然として彼らの多くが、サイバーセキュリティに関して経営層とのコミュニケーションに課題を抱えていることが窺えます。本記事では、こうした課題の原因は何か、乗り越えるにはどうしたらよいのかを考察します。

サイバーセキュリティとビジネスの断絶

「サイバーリスクが自社にとって最大のビジネスリスクである」。そう考える回答者は59%にのぼります。さらに、「自社においてビジネスリスク低減の責任を負うべきなのは（または実際に負っているのは）誰か」という質問には、42%の回答者がCEOと回答しています。

一方、組織内においては、「サイバーセキュリティは、ビジネスリスクというよりはむしろITの一部として扱われている」という回答者が34%を占めています。

「サイバーリスクが自社にとって最大のビジネスリスクである」と考える回答者は59%にのぼる

組織内の実情は別の数字からも窺えます。80％のセキュリティ担当者が「経営層はインシデントが起きて初めて行動を起こすだろう」と回答。さらには、多額の経済的損失を被れば経営層が行動を起こすだろう、という声まで挙がっています。

これらの回答は、多くの経営層が事前の対策としてのサイバーセキュリティに関心が薄く、取り組みも進んでいないことを示しています。つまり、サイバーリスクはビジネスリスクの一部として経営層も責任を担うべきだとセキュリティ担当者が認識しているにも関わらず、それを経営層に効果的に伝えることができていないのが現実と言えます。

セキュリティ担当者と経営層の溝

セキュリティ担当者の意見が経営層に届いていないのはなぜでしょうか？インタビューの結果では、「自組織が直面しているサイバーリスクの深刻さを、実際より控えめに見るよう、経営層が圧力をかけていると感じたことがある」という回答者が、実に79％にのぼります。そのうち43%は、その原因は自分たちが「口うるさいと思われているから」と答え、42%は「悲観的すぎると思われているから」と答えています。さらに33%が、提案や要請を即座に退けられたことがあると回答しています。深刻な現実に目を向けてもらえないばかりか、そもそも話も聞いてもらえない、と感じているのが実情のようです。

「自組織が直面しているサイバーリスクの深刻さを、実際より控えめに見るよう、経営層が圧力をかけていると感じたことがある」という回答者が、79％にのぼる

一方、経営層の立場からすれば、専門用語がつまったプレゼン資料に忙殺されたくない、というのが本音かもしれません。むしろ、「当社はどのぐらい安全なのか？」、「当社のサイバーセキュリティ戦略は同業他社と比べてどうなのか？」というような、大局的な質問への回答を求めているのではないでしょうか。そこで、たとえば次のような切り口でアプローチすると、経営層とのコミュニケーションギャップを埋め、サイバーセキュリティ戦略とビジネス戦略を連携させる一助となるかもしれません。

・サイバーセキュリティ戦略は、当社のビジネス目標の達成をどのようにサポートしているのか？
・当社のサイバー分野への投資に対するROI (Return On Investment: 投資収益率) はどのぐらいか？
・直近のデジタルトランスフォーメーションは、サイバーリスクにどんな変化をもたらすか？

また、事実に基づいた指標を持つことも、相互理解の促進に効果的です。つまり、①現状のリスク分析を行い、②それに基づき、リスクの深刻度、対処の進捗状況などの推移を指標とし（同業他社とのベンチマークがあればなおよい）、③それを継続的に見ていく、というものです。
そのためには、事実を的確に捉えるためのツールは不可欠です。さらに、指標についてわかりやすく説明できるようにしておくことも必要です。これにより、セキュリティの専門知識がない経営層とも共通認識を持つことが期待できます。

次の記事にもヒントとなるような例を紹介していますのでご参考ください。
・サイバーリスクマネジメント - 経営層を巻き込むためのヒント
・セキュリティリーダー、CISOに求められる役割とは

経営層とのいわば共通言語を用いたコミュニケーションは簡単なことではないでしょう。しかし、次に述べるように、コミュニケーションがスムーズにとれたときに組織にもたらされる恩恵は計り知れません。

サイバーセキュリティを踏まえたビジネス推進

回答者の46%は、「サイバーセキュリティのビジネスにおける価値を提示できたとき、より信頼を得ることができた」と言っています。その結果として、次のようなメリットが挙がりました。

上図はセキュリティ担当者側のメリットですが、これらが端緒となり、経営層でサイバーセキュリティへの理解と関与が進むことが期待できます。経営層がサイバーセキュリティにより深く関与するにつれ、組織全体のセキュリティ成熟度が高まるのは過去の調査が示しています。さらに、セキュリティ成熟度が高い組織ほど、インシデント時の復旧にかかる時間（MTTR）が短い傾向にあります。つまり、サイバーレジリエンスの強化につながるというわけです。

参考記事：経営層・セキュリティ責任者・インシデントレスポンス担当3者の立場で考えるセキュリティインシデント

レジリエンスが高い組織は、サイバーセキュリティが経営層も巻き込んだ形で、事業継続性（ビジネスコンティニュイティ）に深く根付いている状態にあるといえます。そういう状態にあれば、組織が継続的な攻撃にさらされていてもサービスを提供し続けることができ、企業の社会的信頼と利益を守ることができるのです。

＜関連記事＞
・経営層・セキュリティ責任者・インシデントレスポンス担当3者の立場で考えるセキュリティインシデント
・CIO Loungeとの共同調査から見えたサイバー攻撃被害に遭いやすい組織の特徴とは？～「セキュリティ成熟度」と「インシデント被害」の関係性から対策の有効性に着目する～
・経営層の約50％が誤解！サイバーセキュリティのビジネスへの影響とは？