セキュリティ担当者と経営層にはなぜ溝があるのか?
約2,600人のセキュリティ担当者へのインタビューから窺える、経営層との溝。それはサイバーセキュリティとビジネスの断絶を生み、結果として、組織のレジリエンス低下をもたらしているのではないでしょうか。
はじめに
サイバーセキュリティリスクはビジネスリスクの一部であり、経営層の積極的関与の重要性が叫ばれるようになって数年が経過しましたが、現状はどうでしょうか。トレンドマイクロでは、北中南米、アジア太平洋、欧州、中東の約2,600人のセキュリティ担当者にインタビューを行いました。2024年5月に公開されたそのレポートからは、依然として彼らの多くが、サイバーセキュリティに関して経営層とのコミュニケーションに課題を抱えていることが窺えます。本記事では、こうした課題の原因は何か、乗り越えるにはどうしたらよいのかを考察します。
組織内の実情は別の数字からも窺えます。80%のセキュリティ担当者が「経営層はインシデントが起きて初めて行動を起こすだろう」と回答。さらには、多額の経済的損失を被れば経営層が行動を起こすだろう、という声まで挙がっています。
これらの回答は、多くの経営層が事前の対策としてのサイバーセキュリティに関心が薄く、取り組みも進んでいないことを示しています。つまり、サイバーリスクはビジネスリスクの一部として経営層も責任を担うべきだとセキュリティ担当者が認識しているにも関わらず、それを経営層に効果的に伝えることができていないのが現実と言えます。
一方、経営層の立場からすれば、専門用語がつまったプレゼン資料に忙殺されたくない、というのが本音かもしれません。むしろ、「当社はどのぐらい安全なのか?」、「当社のサイバーセキュリティ戦略は同業他社と比べてどうなのか?」というような、大局的な質問への回答を求めているのではないでしょうか。そこで、たとえば次のような切り口でアプローチすると、経営層とのコミュニケーションギャップを埋め、サイバーセキュリティ戦略とビジネス戦略を連携させる一助となるかもしれません。
・サイバーセキュリティ戦略は、当社のビジネス目標の達成をどのようにサポートしているのか?
・当社のサイバー分野への投資に対するROI (Return On Investment: 投資収益率) はどのぐらいか?
・直近のデジタルトランスフォーメーションは、サイバーリスクにどんな変化をもたらすか?
また、事実に基づいた指標を持つことも、相互理解の促進に効果的です。つまり、①現状のリスク分析を行い、②それに基づき、リスクの深刻度、対処の進捗状況などの推移を指標とし(同業他社とのベンチマークがあればなおよい)、③それを継続的に見ていく、というものです。
そのためには、事実を的確に捉えるためのツールは不可欠です。さらに、指標についてわかりやすく説明できるようにしておくことも必要です。これにより、セキュリティの専門知識がない経営層とも共通認識を持つことが期待できます。
次の記事にもヒントとなるような例を紹介していますのでご参考ください。
・サイバーリスクマネジメント - 経営層を巻き込むためのヒント
・セキュリティリーダー、CISOに求められる役割とは
経営層とのいわば共通言語を用いたコミュニケーションは簡単なことではないでしょう。しかし、次に述べるように、コミュニケーションがスムーズにとれたときに組織にもたらされる恩恵は計り知れません。
上図はセキュリティ担当者側のメリットですが、これらが端緒となり、経営層でサイバーセキュリティへの理解と関与が進むことが期待できます。経営層がサイバーセキュリティにより深く関与するにつれ、組織全体のセキュリティ成熟度が高まるのは過去の調査が示しています。さらに、セキュリティ成熟度が高い組織ほど、インシデント時の復旧にかかる時間(MTTR)が短い傾向にあります。つまり、サイバーレジリエンスの強化につながるというわけです。
参考記事:経営層・セキュリティ責任者・インシデントレスポンス担当3者の立場で考えるセキュリティインシデント
レジリエンスが高い組織は、サイバーセキュリティが経営層も巻き込んだ形で、事業継続性(ビジネスコンティニュイティ)に深く根付いている状態にあるといえます。そういう状態にあれば、組織が継続的な攻撃にさらされていてもサービスを提供し続けることができ、企業の社会的信頼と利益を守ることができるのです。
<関連記事>
・経営層・セキュリティ責任者・インシデントレスポンス担当3者の立場で考えるセキュリティインシデント
・CIO Loungeとの共同調査から見えたサイバー攻撃被害に遭いやすい組織の特徴とは?~「セキュリティ成熟度」と「インシデント被害」の関係性から対策の有効性に着目する~
・経営層の約50%が誤解!サイバーセキュリティのビジネスへの影響とは?
Security GO新着記事
Webスキミングとはどのような攻撃なのか?~決済情報の非保持化でも被害に遭う脅威~
(2024年11月8日)
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)