TOPセキュリティ > セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(...

セキュリティ

セキュリティ責任者と経営陣との意思疎通を強化する4つの方法(後)

2021/04/01

Stacy Collett CSO

 SolarWinds事件のような大規模なサイバー攻撃が、メディアで大きく取り上げられると、企業の経営陣や取締役らは色めき立つ。これまで3つの企業でセキュリティ責任者を務めてきたBill Brown氏の経験では、こうした攻撃の存在を報道で知った経営陣が、通勤電車の中から同氏に確認の電話を入れてくることがよくあったという。「こういう攻撃は当社でも起こり得るのか、とか、心配した方がよいのか、と聞かれるが、それだけだった」。

前回から続く)

競合他社と比較する

Credit: Igor Kutyaev / Getty Images

 経営陣や取締役らがCISOに望んでいるのは、共通の尺度のもとで自社の取り組みを競合他社と比較することだとPescatore氏は指摘する。最高財務責任者(CFO)や最高執行責任者(COO)が示す情報と同じだ。「取締役らが知りたいのは、セキュリティのイニシアチブやサプライチェーンの防御が競合他社より上なのか下なのかだ」。これを頻繁に割り出すのは大変だと同氏は言うが、支えとなるリソースはある。

 米国では、重要インフラに対するサイバー脅威の情報の収集や共有を担う組織として、さまざまな業界別のISAC(Information Sharing and Analysis Centers)がある。また、その協議会であるNational Council of ISACsは、民間とパブリックセクターの組織間での情報共有を促す役割を果たしている。同協議会に参加しているISACは、医療、小売、金融サービス、メディア、石油・ガスなど、24の業種に上る。「皆が集結し、互いに照らして比較ができる。ただし、これが十分に広まっていない」とPescatore氏は言う。

法制化の動きを生かす

 米国の政府機関が標的となったSolarWinds事件を受けて、新政権は国のサイバーセキュリティ防衛の強化に照準を合わせている。また、連邦法レベルでのプライバシー法制定についても、民主・共和両党で動きが起きている。近年提出されてきた法案を前進させる機運がついに高まりつつあるのかもしれない。こうした連邦法ができた場合に、既に施行されつつある州法を無効化できるのかどうかという面については、連邦議会で激しい対立が予想される。

↑ページ先頭へ