サイバーセキュリティは経営課題というが……経営層とCISOにあるズレとは？

●
「サイバーセキュリティは経営課題」――そんな言葉があちこちで聞かれるようになりました。事実、経済産業省の『サイバー経営ガイドライン』においては、サイバーインシデント時の経営者の説明責任が問われています。また、2022年6月に5年ぶりに改訂された『重要インフラのサイバーセキュリティに係る行動計画』においては、対策の不備で情報が漏えいした場合、経営陣は賠償責任を問われる可能性があることが明記されました。

かつてはサイバー攻撃を受けても「ウイルスに感染したパソコンがしばらく使えなくなって困った」といった話で済みましたが、今や影響はそれだけにとどまりません。攻撃者の攻撃手法もエスカレートし、サイバー攻撃により自社の業務がしばらく立ちゆかなくなるだけでなく、サプライチェーンでつながる取引先や親会社にまで影響が及ぶ恐れがあり、事業に大きなインパクトを与えてしまいます。

では、企業の経営層はこの状況をどの程度自分ごととしてとらえ、対策に取り組もうとしているのでしょうか。プルーフポイントがワールドワイドで行った調査「Cybersecurity：The 2022 Board Perspective | 取締役会におけるサイバーセキュリティの展望2022」の結果をもとに、その傾向を見てみましょう。
セキュリティ投資は増大、けれどその内容は「適切」か？

10年前には、「サイバーセキュリティやITのことはよくわからないから、情報システム部門に任せている」と語る経営層は少なくありませんでした。CISOやCSOといった情報セキュリティ最高責任者を任命していても「名ばかり」と揶揄されることもあったほどで、経営会議における重要な議題は売り上げの達成、競争力の向上といった項目でした。

しかし、サイバー攻撃が増加し、メディアで連日のように被害が報じられる今、過去のようにサイバーセキュリティを他人事として捉えることはできなくなってきています。

プルーフポイントとCybersecurity at MIT Sloan（CAMS）が、日本を含む世界12カ国で、従業員5000名以上の組織の経営層600人に対して行った調査によると、回答者の77％は「サイバーセキュリティを最優先事項としている」と回答しています。特に、「内部データの流出」（37％）、「風評被害」（34％）、「売上の損失」（33％）といった事柄を懸念する声が多くなっています。

この問題意識を反映してか、経営層の大半がサイバー脅威が自組織がつながる取引先や顧客に影響するというシステミック・リスクを理解し、セキュリティ対策に必要な「予算」への手当も進めているようです。回答者の76％は「サイバーセキュリティに対して適切な投資をしている」とし、さらに87％は、「今後1年の間にサイバーセキュリティの予算は増加する」としています。さらに、経営層とCISO、双方の47％が「組織はサイバー攻撃に対する用意ができていない」と回答しています。

これらの数字は一見すると朗報に見えます。しかし、約半数の組織がサイバー攻撃に対する用意ができていないと考えていることも示しています。

「適切な投資」は、サイバー攻撃の高度化・巧妙化に伴って変化しています。十数年前ならば、システム的な多層防御による保護こそ、適切な投資ととらえることができました。しかし今や、どれほど防御の壁を複数立ててもそれをすり抜けてくる脅威が存在することは明らかで、「人」の脆弱性を狙った攻撃も多数展開されています。

この事実を踏まえ、「検知・対応・復旧」といったプロセスを視野に入れ、かつ従業員に対するセキュリティ教育や意識向上トレーニングといった取り組みを進め、組織のレジリエンスを高めていくことが必要です。そういった意味での「適切な投資」ができているかを問い直す必要があるでしょう。
取締役は「意見は一致している」と言うものの - CISOとの間に認識のギャップ

今回の調査と、プルーフポイントが2022年6月に発表した「2022 Voice of the CISO」（CISO意識調査レポート）を比較してみると、さらに興味深いギャップが明らかになります。

経営層向けの調査では、回答者の69％が「CISOと意見が一致している」としました。一方同じ質問をCISO側にしてみると、経営層と意見が一致していると回答したCISOは51％で、CISOと定期的に交流を行っている割合は約半数の47％のみでした。

こうしたコミュニケーションギャップも一因かもしれませんが、経営層とCISOの危機意識、温度感にはかなりの差が生じています。日本においてはその傾向が顕著で、経営層の72％が「今後１年の間に自組織が重大なサイバー攻撃を受ける」と回答しましたが、同様の回答をしたCISOは38％のみでした。

経営層の76％は「少なくとも毎月、サイバーセキュリティについて議論している」にもかかわらず、CISOと経営層の間で認識のズレが発生しています。鶏が先か、卵が先かという議論になるかもしれませんが、背景には、CISOと経営層が互いをよく知らず、優先事項も理解していないこと、そしてサイバーセキュリティに関する専門用語を、経営層にわかる言葉に「翻訳」して伝えるのが難しいことなど、いくつかの理由がありそうです。

こうしたズレは、サイバー攻撃者にとっては利点でしかありません。そのズレを埋めるには、定期的なコミュニケーションを通して優先順位を共有し、組織としてサイバー攻撃への備えとレジリエンスの向上を図ることが重要です。

●
「内部脅威」や「ヒューマンエラー」に対する危機意識にも注目を

なお、調査からはもう1つ注目すべきポイントが明らかになりました。「内部脅威」や「ヒューマンエラー」に対する危機意識です。

どういった攻撃に懸念を感じているかを経営層に尋ねたところ、最も多いのは「メール詐欺・ビジネスメール詐欺（BEC）」で41％となり、続けて「クラウドアカウント侵害」（37％）、「ランサムウェア」（32％）という結果になりました。一方、CISOに同様の質問を投げかけたところ、これらの脅威に対する懸念も30％前後という回答でしたが、最大の脅威として「内部脅威」を挙げる声が31％で最多でした。

経営層が挙げた脅威のほとんどに関係してくるのがメールです。メールはビジネスに不可欠なツールであり、それだけに、脅威が侵入してくる最大の経路となっています。しかも、その最前線に立つのは「人」です。仕事熱心だったり、急いでいたりするあまりにヒューマンエラーが生じ、たった一回クリックミスしてしまうだけで、組織に深刻な影響を与える恐れがあります。

経営層もCISOも、メールがもたらすこうした脅威を正しく認識しており、特に経営層の67％は「ヒューマンエラーこそ、最大のサイバー脆弱性である」と回答しています。日本の経営層もそう考える傾向があり、世界平均よりも高い74％が、ヒューマンエラーへの懸念を示しています。

このこと自体は歓迎すべきですが、世界経済フォーラムが「サイバーセキュリティ事故の95％はヒューマンエラーが原因である」とする調査結果を示していることを踏まえると、もっと注目されて然るべきでしょう。同様に、内部不正のリスクももっと認識されてしかるべきだと考えます。

サイバー攻撃対策はテクノロジーだけでは不十分です。このことを認識し、経営層も含めた従業員全体が、トレーニングプログラムなどを通じて疑わしいメールやWebサイトに遭遇した際にどのように振る舞い、対処すべきかを理解し、犯罪者がつけいる隙を減らしたり、何が内部不正に当たり、どんなリスクを招くかを理解していったりすることが重要です。

特に、取締役会が「ロールモデル」として、あるべき手順を尊重し、サイバーセキュリティを優先する姿勢を示すことで、その文化が組織全体に波及していくでしょう。

CISOは「ビジネスの言葉」で説明することで強固な組織の実現を

先に触れたとおり、取締役会ではサイバーセキュリティを重要な脅威と捉えており、定期的に話し合うようになっています。これは以前に比べれば大きな進歩と言えるでしょう。一方で、現場からの報告を受けているCISOの認識と取締役との認識の間にはまだギャップが存在することも、今回の調査からは明らかになりました。

調査では、回答した取締役の76％が、「少なくとも月に1回はサイバーセキュリティ問題について話し合っている」と回答しています。逆に言えば、まだ4分の1、24％の企業は定期的な話し合いを持っていないということです。

サイバーセキュリティを優先順位の高い課題と捉えているのであれば、その解決に向け、取締役会で定期的に議題として取り上げるべきです。そして、今の状況とあるべき姿を把握するため、できれば具体的な指標を持ち、それに沿って進捗を確認すべきでしょう。可能であれば、インシデント発生時にどう振る舞うべきかを理解するため、定期的に訓練を実施することも有効です。そうした姿勢は自ずと組織全体にも浸透し、サイバーセキュリティを重視する文化の醸成にもつながるはずです。

一方、CISOにもできることはあります。インフラを守る技術的な視点ではなく、事業自体を守るビジネス的な視点を持って経営層と対話することです。

例えば、「CVSなんとかの脆弱性が悪用されています」といった過度に技術的な説明ではなく、その脅威によって自社の収益にどのような影響が生じる恐れがあり、どうすればビジネスリスクを低減できるかといった観点で、ビジネスの言葉を用いて説明することが効果的です。これにより取締役会との認識のズレを埋め、ともに力を合わせるビジネスパートナーとして、経営課題としてのサイバーセキュリティに取り組むことができるでしょう。 そうすることによって、日本の取締役会におけるCISOの地位も向上するはずです。

しばしば「CISOの言うことはよくわからない」「経営層はセキュリティのことをわかってくれない」と、互いが互いを非難する言葉が聞かれがちですが、この二者は敵対関係にあるべきものではありません。共に手を携え、サイバー攻撃者という真の敵に立ち向かうべきです。

それには、互いの関係をより強固なものにし、認識を一致させることが重要であり、それがサイバー攻撃に対する防御とレジリエンシーを備えた組織を作る上で重要な一歩といえるでしょう。

○日本プルーフポイント株式会社　チーフ エバンジェリスト　増田 幸美（そうた ゆきみ）

早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。