サイバー攻撃、自社の本当のリスクを知っているのは誰？

サイバー攻撃を受けた企業が果たすべき責任は重くなっている。企業として一貫した対応を取るのは取締役会の責任だ。だが、サイバー攻撃に対する認識が必ずしも一致していないようだ。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティに対する取締役会の理解が深まってきた。だが、取締役会の中でCISO（最高情報セキュリティ責任者）とそれ以外のCxO（Chief x Officer：最高責任者レベルの経営幹部）では、状況判断に違いがあるという。何が違うのだろうか。

自社が標的になる確率は？

　Proofpointとマサチューセッツ工科大学スローン経営大学院サイバーセキュリティコンソーシアム（CAMS）が共同で取り組んだ調査（注1）によると、企業の取締役会とCISOの間には、サイバー攻撃への対処能力に大きな隔たりがある。

　調査によれば、CISO以外の役員のほぼ3分の2は「今後12カ月間に自社に対する重大なサイバー攻撃のリスクがある」と回答している。一方、そのような攻撃を受けるリスクがあると回答したCISOは、半数以下にとどまった。

　意見の相違があることは明らかであり、問題の根は深い。リスクの他にも、取締役会とCISOの連携について認識の違いがあるからだ。取締役会のメンバーの3分の2以上が、企業内のCISOと意見が一致すると答えた。だが、取締役会のメンバーに対して同じように感じているCISOは半数だけだった。

　この調査結果から、サイバーセキュリティの世界におけるCISOや経営幹部、取締役会の関係に問題があると理解できる。

政府機関が4日以内の情報開示を求める

　米国の議会や連邦政府機関、多くの州が、2020年の「SolarWinds」製品に対する国家支援型サイバー攻撃を受けて、インシデントに関する確実で迅速な情報開示を要求している。石油パイプラインを運用するColonial Pipelineに対する2021年5月のランサムウェア攻撃を筆頭に、有名で破壊的なランサムウェア事件が相次ぎ、緊張感が高まっている。

　規制当局の監視に対する要求の中で、米国証券取引委員会は2022年3月、サイバーセキュリティに関する重大な事故について4日以内という迅速な情報開示を提案した。また、企業のセキュリティポリシーと監視について、定期的な更新を行うことも求めている。

取締役会の責任が重大に

　Proofpointのバイスプレジデント兼グローバルCISOのルシア・ミリッツァ氏は、「近年、サイバーセキュリティはCIO（最高情報責任者）やCISOの独壇場ではなくなり、取締役会レベルで議論されるようになった」と述べている。攻撃の増加により、多くの企業では深刻な財務上の損害や風評被害が広がっている。

　「取締役はより強靱（きょうじん）で保護された組織を作るために、CISOと共に重要な役割を担っている」（ミリッツァ氏）

　先月行われたPwCの別の調査でも、企業がサイバーセキュリティに取り組むために、経営幹部や取締役会からの支援を受けながら、さらなる措置を講じていることが示されている。

　PwCのCyber＆Privacy Innovation Instituteのリーダーのマット・ゴーハム氏は、2022年9月に電子メールで次のように伝えている。

　「取締役は増加するリスクに対応するため、サイバーセキュリティにより関心を寄せている。企業経営者は、サイバーセキュリティについて学び、時間を割くように努めている」

取締役会の現状認識はCISOとずれている

　冒頭で紹介したProofpointとCAMSの調査によると、取締役会とCISOはサイバー攻撃に関する懸念を共有しており、「ビジネスメールの漏えい」と「クラウドアカウントの漏えい」をそれぞれ主要な懸念事項として位置付けているという。他方、CISOは「インサイダーリスク」を最大の懸念事項としているが、取締役会のメンバーはそれをはるかに低いランクに位置付けている。

　攻撃の結果についても大きな意見の相違がある。取締役会のメンバーは、風評被害や収益の損失と並んで、内部データの漏えいを最も懸念している。CISOは大量のダウンタイム、インシデントによる業務の中断、インシデントによる業務への影響について最も懸念している。

　「CISOと取締役会のメンバーは、それぞれ異なる背景を持っており、リスクに対する認識にそれぞれ特徴がある」とミリッツァ氏は述べる。

　「取締役会のメンバーの業務は、CISOほどサイバーセキュリティに関わっていない。脅威の本質を真に理解するための複雑な知識が不足している可能性もある」

　もう一つの可能性はCISOのコミュニケーション能力だ。「取締役会メンバーに対して理解できるような方法でサイバーリスクを伝えることができていない可能性もある」とミリッツァ氏は指摘する。

　今回の調査結果は、世界各国の5000人の従業員数を抱える企業を代表する600人以上の取締役会メンバーからの回答に基づいている。調査の一環として、米国、英国、カナダを含む計12カ国の50人の企業幹部にインタビューを実施した。

出典：CISOs, corporate boards in wide disagreement on cyber resilience（Cybersecurity Dive）

注1：Cybersecurity: The 2022 Board Perspective Report

注2：SEC pushes for tougher cybersecurity disclosure rules

注3：C-suite, boards are prioritizing cybersecurity, but still expect increased threats（Cybersecurity Dive）