サイバーリスクから会社を守る: 取締役会が知っておくべき 5 つのこと
David Homovich
Solutions consultant, Office of the CISO, Google Cloud
Seth Rosenblatt
Security Editor, Google Cloud
※この投稿は米国時間 2024 年 10 月 30 日に、Gooサイバーリスクから会社を守る;取締役会が知っておくべき 5 つのことdgle Cloud blog に投稿されたものの抄訳です。
戦略的リーダーシップと意思決定の中心である取締役会は、かつてない変革の時代を迎えています。技術の急速な発展、AI がもたらす大変革、絶え間なく進化するサイバーセキュリティ環境、そして変動する規制環境が絡み合い、独自の課題と機会が生まれています。
さらに今年は米国証券取引委員会(SEC)が新たな規制を施行したことにより、取締役会は、多くのサイバーセキュリティ リスク管理やガバナンスに関する意思決定の責務を負うことになっています。これは大きな変化です。最近発表された SEC の指針は、オペレーショナル レジリエンスへの懸念の高まりを受けたものであり、サイバー攻撃に対する組織の備えと回復力に注目しています。
2023 年のアンケート調査によると、最も懸念するリスクはサイバーセキュリティであると答えたセキュリティ リーダーは 33%、ビジネス リーダーはそれを上回る 38% でした。これは、ビジネス リーダーは自組織へのサイバー脅威のリスクを理解していないとする大半のセキュリティ リーダーの見方を打ち消すものです。
このような懸念は、Proofpoint が 2023 年の取締役会を対象に行った調査でも明らかになっています。調査対象となった取締役の 70% 以上が、サイバーセキュリティは取締役会の優先課題であると捉え、組織が直面する脅威を認識し、サイバーセキュリティに十分なリソースを投じていると回答しました。
Google Cloud の CISO オフィスには、取締役会、CISO、ビジネス リーダーからの懸念の声が届いています。Google はサイバーセキュリティ月間の一環として、取締役会がセキュリティとデジタル トランスフォーメーションについて学ぶ時間を確保し、組織が直面するリスクをより適切に管理すべきであること提言しています。取締役会が組織のセキュリティ状況を具体的に把握し、サイバーリスク管理の意思決定に積極的に関わることで、組織全体のレジリエンスが向上すると確信しています。
Google では、「取締役会のためのセキュリティの視点」レポート シリーズを作成し、取締役レベルで考慮すべきセキュリティ事項の上位 5 項目をまとめました。
- AI とサイバーセキュリティへの取締役会の関与: AI がサイバーセキュリティに及ぼす影響は、ますます重要になっています。AI テクノロジーの恩恵を最大に享受しながらリスクを最小限に抑えるためには、取締役会と CISO、テクノロジー リーダー、ビジネス リーダーが連携し、セキュリティと AI に関して多角的な視点で取り組む必要があります。
取締役会はまず、自組織がどのようにして安全な AI システムを導入予定であるかを把握してください。次に、CISO と連携し、サイバーセキュリティで大規模な成果を達成するための最適な AI の活用方法を理解する必要があります。さらに、CISO の協力を得て AI 開発の最新情報を入手することで、将来的な脅威の予測に役立てることができます。レポートを読む。 - 取締役会はどのようにサイバーリスク監視を支援できるか: サイバーリスクの対策には、政府主導のサイバーセキュリティ基準の遵守を含め、考慮すべき複雑な問題が山積しています。そのためリスク評価はより複雑なものになりますが、不可能というわけではありません。
取締役会としては、サイバーリスクをビジネスリスク全体の一部として捉え、管理するのが最善でしょう。それには、サイバーセキュリティとレジリエンスをビジネス戦略、リスク管理の実践、予算編成、リソースの配分に組み込む努力が必要です。レポートを読む。 - 取締役会向けのクライシス コミュニケーション: サイバー インシデントの発生時には、クライシス コミュニケーションがビジネス活動継続の生命線となり得ます。そのため組織は、サイバー危機におけるステークホルダー、顧客、社会との迅速かつ効果的なコミュニケーション方法を事前に確立しておく必要があります。
監督的な立場にある取締役会は、技術的防御とクライシス コミュニケーション両方の戦略に対し、独自の視点とリーダーシップを発揮する役割を担なうことになるでしょう。この 2 つが統合されることで組織のデジタル アセットと評判を守るための基盤が強化され、それが信用を維持し、さらには向上させることに繋がります。レポートを読む。 - 連携による保険保護の最適化: サイバー保険は、データ侵害、ランサムウェアなどのサイバー攻撃を受けてサイバーセキュリティに関わる事業中断が発生した状況では、組織を回復させるための重要な手段です。こちらのレポートでは、組織の保険ニーズを適正化するプロセスを合理化するためのヒントをまとめています。
堅牢なサイバー保険戦略を策定するために必要な分析や手法の多くは、サイバーリスク管理のための全般的な取り組みと共通しています。組織は、これら 2 つのプロセスを並行して進めるのではなく統合して行うべきです。サイバーリスクを包括的に管理するために、取締役会は、(技術的側面を扱う)CISO と(財務的影響を扱う)財務部門の連携を進める必要があります。レポートを読む。 - サイバーセキュリティ リーダーシップにおける心理的レジリエンス: CISO とそのチームは、心理的な負担から、意思決定能力の衰えや燃え尽き症候群を患う可能性があります。絶え間なく現れる新たな脅威、最も強固な防御でさえ侵害を受ける可能性があるという現状、予算と人員確保の厳しさがセキュリティの決定に与える影響、上級管理職との重大なセキュリティ リスクについてのやり取りなど、すべてが心理的なプレッシャーとして重くのしかかります。
こうした負担により CISO は孤軍奮闘しているようだと感じるかもしれませんが、孤立無援ではありません。取締役会や経営幹部は、組織全体におけるビジネス戦略の中心的要素として、CISO とセキュリティ チームの心理的レジリエンスを優先課題に据えることをおすすめします。レポートを読む。
Mandiant の創設者であり Google Public Sector の取締役も務める Kevin Mandia が、今年の RSA Conference の基調講演で述べたように、サイバーセキュリティとオペレーショナル レジリエンスにおいて取締役会が果たすべき役割はかつてないほど重要になっています。
「取締役会は会社を監督するために存在します。そして、その監督の役割が今では義務となっており、私たちはこれを伝える必要があります。新たなデータ主権の法律、プライバシー法、サイバーセキュリティの標準、法律、規制が登場するなかで、取締役はセキュリティに対する関心を強化してそれを維持する方向に動機づけられています」と、Mandia は話しました。
取締役会に向けた最新の Google Cloud ガイダンス(ブログ、レポート、動画、連絡先情報など)については、Board of Directors Insights Hub をご覧ください。
-Google Cloud、CISO オフィス ソリューション コンサルタント David Homovich
-Google Cloud、セキュリティ編集者 Seth Rosenblatt
