サイバー犯罪のコストは1兆ドル以上 火を噴くセキュリティインシデントを回避する組織体制の基本：CIO Dive

サイバー犯罪の経済的損失は2020年に1兆ドルの大台を超えた。最近はTech企業や重要インフラも大々的な被害に遭うことも多いが、こうしたリスクを最小化するには組織ガバナンスを効かせつつ、共通の意識づけをするための基盤を仕組んでおく必要があるようだ。

[Roberto Torres，CIO Dive]

　企業が戦略的目標を達成するためには、CIO（最高情報責任者）とCISO（最高情報セキュリティ責任者）が協力する必要がある。両者の関係の悪化は情報漏えいのリスクになり得るからだ。

　ITリーダーは、自社の重要なシステムに関連する「サイバー攻撃」という言葉を恐れている。信用情報会社Equifaxから金融業のCapital One、医薬品メーカーMerck、石油パイプライン大手Colonial Pipeline（いずれもサイバー攻撃で大きな被害を受けた企業）に至るまで、企業はサイバーセキュリティの弱点が事業運営やブランド価値、市場でのパフォーマンスに及ぼす永続的な影響を目の当たりにしてきたはずだ。

　IT管理ソリューションを手掛けるFlexeraの調査によれば（注1）、サイバーセキュリティにおける脆弱（ぜいじゃく）性は基調にとって破壊的な結果をもたらす可能性があることからテクノロジーリーダーの約半数が「IT資産の脆弱性は主要な懸念事項だ」としている。事実、テクノロジーリーダーの10人に7人は「懸念事項トップ3」の1つにIT資産の脆弱性を挙げる状況だ。

CIOとCISOが「効果的な関係」を維持し続けるには努力が必要

　組織を支えるCIOとCISO（直接的にCIO、CISOの役職を持たなくてもIT部門とセキュリティ部門内で同様の職責を持つ人物は存在するだろう）が健全な関係を築くためには、特定のテクノロジーではなく優先すべきビジネスアウトカム（ビジネスの成果）に焦点を当てることから始まる。効果的な関係を維持するには、「企業がどのようにリーダーシップ体制を構築するか」「経営層がどう協力するか」も重要だ。

　コンサルティング企業Eagle Hill ConsultingのHealth and Life Sciencesグループの責任者、スリダール・カリマナル氏は、最も一般的なCIOとセキュリティリーダーシップの構造として次の3つのリーダーシップモデルを挙げる。

• CISOがCIOに業務報告する（最も一般的なパターン）
• CISOがCEOに直接業務報告する（金融機関でよく見らる）
• CISOが最高リスク責任者に業務報告する

CISOとCIOの分断を解消する秘策

　企業がどのような組織モデルを採用していても、CIOとCISOの間で戦略や意思決定に大きな違いがあれば「潜在的なギャップや情報漏えいリスクをもたらす」とカリマナル氏は述べる。