サイバーセキュリティについてIT部門は経営陣に何をどう伝えるべきか?

ガートナー ジャパンは7月24日～26日、年次イベント「セキュリティ&リスク・マネジメント サミット 2018」を開催した。2日目の講演に登壇した米ガートナーのリサーチ ディレクター、ロブ・マクミラン氏は「取締役会が知りたいこと」と題し、IT部門が取締役会に情報を提供し、理解を得て、取り組みを推進していくにあたっての”ポイント”を紹介した。

ただ報告すればよいわけではない

サイバーセキュリティやリスクマネジメントが経営に及ぼす影響は、年を追うごとに大きくなっている。ガートナーの調査では「サイバーセキュリティとテクノロジーリスクについて取締役会へのレポーティングが求められるようになる割合」は年々増加しており、2020年までのこれから2年間で見ると、大企業では100%に達するのだという。

「2016年の40%から大幅に増加しました。セキュリティ対策とリスク管理の取締役会への報告は、IT部門にとって欠かすことのできない業務です」とマクミラン氏は説明する。セキュリティインシデントの報告やその後の対応状況の報告に問題があれば、情報漏えいなど事業への直接的な被害だけでなく、企業ブランドの毀損や株主からの信頼の低下を招くことにもつながる。

米ガートナーのリサーチ ディレクター、ロブ・マクミラン氏

欧州GDPR(一般データ保護規則)における「72時間以内の報告義務」などを見ても、重要インシデントを公開して事故に素早く対処し、被害拡大を防ごうという意識は、危機管理の常識になりつつある。もちろん、取締役会への報告がうまくいかなければ、IT部門が取り組んでいるプロジェクトにも大きな影響が生じるだろう。速やかな業務遂行という面においても、報告は重要な仕事だ。

マクミラン氏は、オーストラリア・コモンウェルス銀行に約9年間勤務し、ビジネス・インフォメーション・セキュリティ・サポート部門のエグゼクティブマネジャーとして情報セキュリティを統括した経験を持つ。また、それ以前には大学関連分野に12年間携わり、その内の9年間はセキュリティインシデント対応のスペシャリストチームに所属した経歴の持ち主だ。

それらの経験を踏まえ、マクミラン氏は講演で大きく3つの論点を提示した。それは「取締役会の役割とは何であり、何を重視するか」「どのような情報を網羅すべきか」「どのような方法でプレゼンテーションをすればよいか」の3つだ。

最初の「取締役会の役割とは何であり、何を重視するか」について、マクミラン氏は「取締役会が重視しているのは、テクノロジーの詳細ではなく、それがビジネスにとって何を意味するかです。そのためIT部門のトップは取締役が理解し、反応できると思われる言語で説明する必要があります」とし、取締役会が重視するポイントを3つ挙げた。

それは「オペレーションの説明でなく、戦略を説明すること」「リスクの管理方法(Management)でなく、リスクの監督方法(Oversight)を説明すること」「テクノロジーの詳細ではなく、ビジネスの成果を説明すること」だ。

「多くのセキュリティリーダーが、『取締役会はリスクをモニタリングしている』と信じているようです。ガートナーの調査でも、78%のリーダーが『報告することで取締役会レベルの意思決定に影響を与える』と回答しています。しかし、これは大きな誤解かもしれません。取締役会に対する調査では、『自社のサイバーセキュリティ体制に自信がない』という回答は7割近くに達しているのです」(マクミラン氏)