「サイバーセキュリティは経営課題」――そんな言葉があちこちで聞かれるようになりました。事実、経済産業省の『サイバー経営ガイドライン』においては、サイバーインシデント時の経営者の説明責任が問われています。また、2022年6月に5年ぶりに改訂された『重要インフラのサイバーセキュリティに係る行動計画』においては、対策の不備で情報が漏えいした場合、経営陣は賠償責任を問われる可能性があることが明記されました。
かつてはサイバー攻撃を受けても「ウイルスに感染したパソコンがしばらく使えなくなって困った」といった話で済みましたが、今や影響はそれだけにとどまりません。攻撃者の攻撃手法もエスカレートし、サイバー攻撃により自社の業務がしばらく立ちゆかなくなるだけでなく、サプライチェーンでつながる取引先や親会社にまで影響が及ぶ恐れがあり、事業に大きなインパクトを与えてしまいます。
では、企業の経営層はこの状況をどの程度自分ごととしてとらえ、対策に取り組もうとしているのでしょうか。プルーフポイントがワールドワイドで行った調査「Cybersecurity:The 2022 Board Perspective | 取締役会におけるサイバーセキュリティの展望2022」の結果をもとに、その傾向を見てみましょう。
セキュリティ投資は増大、けれどその内容は「適切」か?
10年前には、「サイバーセキュリティやITのことはよくわからないから、情報システム部門に任せている」と語る経営層は少なくありませんでした。CISOやCSOといった情報セキュリティ最高責任者を任命していても「名ばかり」と揶揄されることもあったほどで、経営会議における重要な議題は売り上げの達成、競争力の向上といった項目でした。
しかし、サイバー攻撃が増加し、メディアで連日のように被害が報じられる今、過去のようにサイバーセキュリティを他人事として捉えることはできなくなってきています。
プルーフポイントとCybersecurity at MIT Sloan(CAMS)が、日本を含む世界12カ国で、従業員5000名以上の組織の経営層600人に対して行った調査によると、回答者の77%は「サイバーセキュリティを最優先事項としている」と回答しています。特に、「内部データの流出」(37%)、「風評被害」(34%)、「売上の損失」(33%)といった事柄を懸念する声が多くなっています。
この問題意識を反映してか、経営層の大半がサイバー脅威が自組織がつながる取引先や顧客に影響するというシステミック・リスクを理解し、セキュリティ対策に必要な「予算」への手当も進めているようです。回答者の76%は「サイバーセキュリティに対して適切な投資をしている」とし、さらに87%は、「今後1年の間にサイバーセキュリティの予算は増加する」としています。さらに、経営層とCISO、双方の47%が「組織はサイバー攻撃に対する用意ができていない」と回答しています。
これらの数字は一見すると朗報に見えます。しかし、約半数の組織がサイバー攻撃に対する用意ができていないと考えていることも示しています。
「適切な投資」は、サイバー攻撃の高度化・巧妙化に伴って変化しています。十数年前ならば、システム的な多層防御による保護こそ、適切な投資ととらえることができました。しかし今や、どれほど防御の壁を複数立ててもそれをすり抜けてくる脅威が存在することは明らかで、「人」の脆弱性を狙った攻撃も多数展開されています。
この事実を踏まえ、「検知・対応・復旧」といったプロセスを視野に入れ、かつ従業員に対するセキュリティ教育や意識向上トレーニングといった取り組みを進め、組織のレジリエンスを高めていくことが必要です。そういった意味での「適切な投資」ができているかを問い直す必要があるでしょう。
取締役は「意見は一致している」と言うものの - CISOとの間に認識のギャップ
今回の調査と、プルーフポイントが2022年6月に発表した「2022 Voice of the CISO」(CISO意識調査レポート)を比較してみると、さらに興味深いギャップが明らかになります。
経営層向けの調査では、回答者の69%が「CISOと意見が一致している」としました。一方同じ質問をCISO側にしてみると、経営層と意見が一致していると回答したCISOは51%で、CISOと定期的に交流を行っている割合は約半数の47%のみでした。
こうしたコミュニケーションギャップも一因かもしれませんが、経営層とCISOの危機意識、温度感にはかなりの差が生じています。日本においてはその傾向が顕著で、経営層の72%が「今後1年の間に自組織が重大なサイバー攻撃を受ける」と回答しましたが、同様の回答をしたCISOは38%のみでした。
経営層の76%は「少なくとも毎月、サイバーセキュリティについて議論している」にもかかわらず、CISOと経営層の間で認識のズレが発生しています。鶏が先か、卵が先かという議論になるかもしれませんが、背景には、CISOと経営層が互いをよく知らず、優先事項も理解していないこと、そしてサイバーセキュリティに関する専門用語を、経営層にわかる言葉に「翻訳」して伝えるのが難しいことなど、いくつかの理由がありそうです。
こうしたズレは、サイバー攻撃者にとっては利点でしかありません。そのズレを埋めるには、定期的なコミュニケーションを通して優先順位を共有し、組織としてサイバー攻撃への備えとレジリエンスの向上を図ることが重要です。