サイバーリスク: 取締役のすべき質問とは何か

本ブログは米国で2019年04月02日に公開された Security Roundtable のブログ「Cyber Risk: What Questions to Ask – and How to Ask Them - SecurityRoundTable.org」の日本語翻訳です。

取締役会役員がすべき適切な質問とは
取締役会役員がすべき適切な質問とは

取締役会役員がサイバーセキュリティに対して受け身な態度でいられる時代は過ぎ去りました。みなさんご自身がそうした取締役のひとりなのであれば、サイバーセキュリティのアジェンダを設定して適切な監督を行いやすくすることにより、組織に対する全体的なリスクを最小限に抑える受託者責任を負うことになります。

そして、こうした監督を実現するには、ビジネスリーダー、サイバーセキュリティリーダー、役員会の同僚の方々とみなさんご自身が「リスクについての対話」を持つことに不安がないようにせねばなりません。役員会全体としてのみなさんは、組織がリスクを識別し、定量化し、監視していることを確認する責任を共有しています。しかもそうした業務を、防御を突破してしまうサイバー攻撃への対応準備と並行して行わねばなりません。

こうしたむずかしい状況を受け、「どのような質問をいつどのようにするのか」を把握しておく、という取締役へのプレッシャーはいや増すばかりです。ここにいたり適切な監督を行うには、まずビジネスパーソンと技術者の間に存在する根深い「言葉の壁」を乗り越える努力をせねばなりません。

おそらく、さらに重要なことは、そうしてビジネスリーダーやサイバーセキュリティリーダーから得た質問の答えを理解し、評価し、精査することができるかどうかでしょう。それができなければ、役員会が設定したリスク要因への対策を組織が実際に順守しているかどうかを判断する術がないからです。

取締役会の役割を理解する

手始めに、サイバーセキュリティについて取締役に課せられた監督業務の役割を理解し、その役割を自分の責任と捉えねばなりません。米国全国取締役会(NACD)は、企業役員会によるサイバーリスク監督改善のための基本5原則について次のように説明しています。

  1. 取締役は、サイバーセキュリティをITの問題として捉えるのではなく、企業全体のリスク管理の問題として捉えたうえで、これに取り組む必要があります。
  2. 取締役は、サイバーリスクの法規制上の影響を企業独自の状況に照らし合わせて理解する必要があります。
  3. 取締役会がサイバーセキュリティの専門知識を十分に活用できる環境を用意すべきです。また、理事会会議ではサイバーリスク管理に関する議論を定期的にかつ適切な時間をかけて話し合うべきです。
  4. 取締役は、経営陣に対し「十分な人員配置と予算をつけて全社的なリスク管理用フレームワークを確立してほしい」という期待について明言すべきです。
  5. サイバーリスクについての取締役会の議論では、リスクごとに取るべき対策(回避、受容、軽減、保険による移転)を識別すべきです。また、各対策について、具体的な計画を含めるべきです。[1]

共通の言葉を見つける

こうした目標達成にむけた質問にさきがけ、サイバーセキュリティ専門家をふくむ全員が同じ言葉で話せる状態にしておかねばなりません。セキュリティ専門家が製品の仕様を掘り下げて説明したとして、それがリスク管理や軽減へのヒントにならないなら、せっかくの説明も役に立たないからです。そうした技術の話がみなさんの興味を引いたり、もっと知りたいと思ったのであればそれはそれでかまいません。ただし、技術的な話が出たからといって怖気づくことがないようにしましょう。その場合は、理解できる言葉で説明するよう彼らに繰り返し頼んでください。

みなさんは、ビジネスの全体目標と対照させることのできる言葉をつかって話さなければなりません。自社のサイバーセキュリティリーダーが、ビジネスの言葉を使ったみなさんとの対話にも十分についてこられることを確認してください。たとえば、サイバーセキュリティリーダーは、重要なアプリケーションが停止した場合の財務リスクを定量化できねばなりません。重大データでプライバシー侵害が発生した場合、その影響がコスト・業務の評判・会社の評判といった観点からどのような意味を持つのかを説明できねばなりません。ビジネスが依存するデータとシステムの整合性と可用性についても議論できねばなりません。規制順守要件を見逃した場合の全体的影響の評価もできてしかるべきです。

各リスクの回避、受容、軽減、移転についての定義が明確であればあるほど(上記原則5参照)、役員会は、適切な監督権を行使していることを確認するための、よりよいフォローアップ質疑に集中できるようになります。

サイバーセキュリティフレームワークの構築

上記をふまえ、組織のリスクプロファイル定義にさきだって取締役会がCIOやCISOなどサイバーセキュリティリーダーと同じ言葉で話せることを確認したら、次はリスクプロファイルについての自社の立ち位置を評価する作業に取り掛かります。

この作業は、組織がヒト、プロセス、テクノロジーを設計しサポートしていくうえで、その素地となるサイバーセキュリティフレームワークについて質問を重ね、同フレームワークへの理解を深めることから始めます。

おそらくみなさんの組織は、世界中の多くの組織と同様に、 米国米国標準技術局(NIST)のサイバーセキュリティフレームワークをご利用になっておられることでしょう。数年前の時点で、セキュリティ専門家の70%がNISTフレームワークをセキュリティのベストプラクティスと見なしていました。この数は2018年4月のバージョン1.1のリリースでさらに上がっていることと思われます。

NISTのサイバーセキュリティフレームワークはおそらくリスク管理支援についての最も包括的なフレームワークといえるでしょう。同フレームワークを利用すると、たとえサイバー攻撃が成功してしまったケースでも組織を保護しやすくなるうえ、みなさんの責任範囲も制限されますし、組織のサイバーセキュリティ文化も育てやすくなります。

適切な質問をする

リスクプロファイルを確立し、組織にふさわしいサイバーセキュリティフレームワークを取り決めたあとは、ベストプラクティスに従っていることと、組織が急速に進化する脅威の状況に適時対応していることを確認するために必要なフォローアップ質疑を始めることができます。

役員会メンバーが尋ねるべき主な質問は次のとおりです。

  1. サイバーセキュリティフレームワークにおける組織の立ち位置を評価するための正式なレビュープロセスがありますか?
  2. それらのレビューはどのくらいの頻度で行われていますか。組織のリスクプロファイルの改善・悪化を評価するにあたりどのような指標を使用していますか?
  3. それらの指標は、組織のリスクプロファイルと密接に連携して開発されていますか?
  4. セキュリティ面で従業員に期待する行動とはどのようなものですか?また期待される行動についてどのように従業員に伝えていますか?セキュリティ上自身が期待されている行動について従業員が確認できるような啓発キャンペーンを行っていますか?
  5. 組織は従業員に対し、彼らに期待する行動と、実際に得られた結果とを比較するような監督方法を取っていますか?たとえば、電子メールはセキュリティ上の最大のギャップになることが多々ありますが、従業員に対し、安全にコントロールされた環境で、フィッシングメールやマルウェアメールの受信訓練を行っていますか?
  6. 組織において、効率の悪い部分をどのようにして特定していますか?組織では、継続的なギャップ分析を行っていますか?またその分析は、どのくらいの頻度で行われていますか?ギャップが見つかった場合、それらを修正するための正式なプロセスはありますか?
  7. 組織はシステム侵害にどれだけ迅速に対応できますか?対応にはどんなテクニックが使われていますか?いまその対応に2日かかっているとすれば、どうすればそれを1日、半日、1時間に短縮できますか。

こうした質問を提起するだけで、皆さんは組織に大きな価値をもたらすことができます。というのも、こうして自チームにリスク管理と実用的な指標とベストプラクティスを開発にフォーカスしてもらうことで、これらのリスク対応でどの程度組織が成果をあげられているのかを評価するようしむけることになるからです。

また、ガバナンス、監督のプロセスを確実かつ継続的に実施させることにより、サイバーセキュリティチームにつねにヒト、プロセス、テクノロジーを評価・監督するようにしむけ、それによって、変化する市場の状況や新たな脅威に組織を適応させていくことができるのです。

一般に、ITチーム、サイバーセキュリティチームには、6ヶ月から9か月ごとに進捗状況を評価させることをお勧めします。報告頻度が高すぎるように思われるかもしれませんが、当節ではさほど頻繁というわけでもありません。というのも、脅威のランドスケープは急速に変化していますし、ビジネスもまた急速に変化しているからです。とくに後者の急速な変化は、サイバーセキュリティ面でトップにとどまるべき最大の動機となります。

なにしろ、私たちはいま、あらゆる業界で、開発サイクルが加速し、新しいサービスに寄せられる期待の「コンシューマ化」が進み、モビリティが向上し、ターゲットを絞った分析が行われていく様子を目の当たりにしており、ここにきてモノのインターネット(IoT)の成長、人工知能および機械学習に支えられての攻撃面の増大が加わってくるのですから。

結論

取締役はなにもサイバーセキュリティの専門家である必要はありません。とはいえその造詣が深ければそれだけ監督業務で多くの価値を提供することができるのも確かです。ですから、たとえばサイバーリスク管理に関するNACDハンドブックやNISTサイバーセキュリティフレームワークを検討するのには時間をかけるべきだといえます。

また、同僚と話をしたり、メモを比較したりもすべきでしょう。取締役の多くは、複数の取締役会に席を置き、さまざまな業界で異なる経験をしているものです。そうした経験、知識を共有すれば、組織のサイバーセキュリティリスク態勢を向上させてくれる新しいアイデアを取締役会で示すことができます。

取締役会の席に着くことは特権ではありますが、そこには相応の責任もともないます。ことサイバーセキュリティに関しては、基本となる知識を習得し、どのような質問を投げかけるべきかを理解することにより、みなさんの提供する監督業務は、最新の十分な知見に基づいて、組織を確実に前進させてくれるものになっていくことでしょう。

[1] "Cyber-Risk Oversight," NACD