TOPセキュリティ > セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(...

セキュリティ

セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(前)

2021/03/30

Stacy Collett CSO

 SolarWinds事件のような大規模なサイバー攻撃が、メディアで大きく取り上げられると、企業の経営陣や取締役らは色めき立つ。これまで3つの企業でセキュリティ責任者を務めてきたBill Brown氏の経験では、こうした攻撃の存在を報道で知った経営陣が、通勤電車の中から同氏に確認の電話を入れてくることがよくあったという。「こういう攻撃は当社でも起こり得るのか、とか、心配した方がよいのか、と聞かれるが、それだけだった」。

Credit: Credit: Kevin

 現在Brown氏は、医療分野に特化したデータ管理ソリューションを手がける米Abacus Insightsで最高情報セキュリティ責任者(CISO)を務めている。同社の経営陣や取締役らは「幸いセキュリティに非常に精通している」と同氏は話す。だが、必ずしもそうではない企業は今も多い。

 SolarWindsの件が大きく報じられていた頃、企業各社は、新型コロナウイルスの影響をさまざまな形で受けていた。米SANSでエマージングセキュリティトレンド担当ディレクターを務めるJohn Pescatore氏は、こうした要素もすべて加味する必要があると話す。同氏は、取締役らに向けたサイバーセキュリティの概況説明を四半期ごとに行っている。「取締役会からすると、サイバーセキュリティは、自分たちの責務に関係する数多いリスクの中の1つだ。それも、ほとんどの企業にとっては、決して最大のリスクではない」

 トレンドマイクロと米Enterprise Strategy Groupが今年1月に発表した調査レポート「Cybersecurity in the C-suite and Boardroom」によると、セキュリティに関する意思決定や戦略に対して取締役会が関与する度合いが2年前よりも高まったとの回答は約85%に及んだ。しかし、こうした取締役たちも、同じ業界の企業で大規模なデータ侵害があった時や、法令で新たな要件が定められた時、あるいは、CISOが新しいセキュリティプログラムを始めた時など、何らかのきっかけがあった場合に、受け身でセキュリティに関与することが多い。

 この調査レポートでは、推奨事項として、ビジネス情報セキュリティ責任者(BISO)を任命して経営とセキュリティの整合性を高めること、測定可能なサイバーセキュリティプログラムをトップダウンで正式に取り入れること、CISOが最高経営責任者(CEO)の直属となるように組織体系を変更することを提言している。経営陣や取締役らとの関係を構築し、定期的に話をする機会を持つことは、最終的にはCISOの責務だ。

 Enterprise Strategy Groupの上級主席アナリストで、今回の調査レポートを執筆したJon Oltsik氏は言う。「取締役らが事態を無視しているとか、経営陣が軽視しているといった面だけでなく、サイバーセキュリティを担う人たちが、自分たちの管轄から踏み出そうとしていないという面もある。状況をがらりと変えるには、進取の気性に富んだCISOが必要だ」

 動きを止めないために、CISOは、セキュリティに関連する情報を絶えず伝達し、取締役らの注目を維持する必要がある。伝達の際には、経営側に通じる言葉を使い、テクノロジーソリューションについてだけでなく、サイバーセキュリティのリスクと戦略という形で伝えなくてはならない。セキュリティを戦略に置き換え、対話を続けるためにどうすればよいか、セキュリティリーダーやアナリストらが挙げたヒントを4項目にまとめて紹介する。

↑ページ先頭へ