「俺たちは厄介者なのか？」 セキュリティ担当者と経営幹部の間にある“深い溝”：Cybersecurity Dive

Trend Microの調査によると、CISOと企業の幹部との関係には緊張がある。セキュリティ担当者の一部は「自分たちは厄介者だと思われている」と述べている。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むTrend Microの調査によると（注1）、CISO（最高情報セキュリティ責任者）をはじめとするITセキュリティリーダーの大多数であるおよそ5人に4人が「自社の取締役会からサイバーリスクの深刻さを軽視することにつながる圧力を感じたことがある」と回答している。

約半数のセキュリティ担当者が取締役会から「口うるさい」と思われている

　同調査は、企業の経営幹部や投資家、セキュリティ部門の間で、セキュリティリスクの適切な管理および伝達方法を巡って緊張が続いていることを浮き彫りにしている。

　Trend Microのジョン・クレイ氏（脅威インテリジェンスを担当するバイスプレジデント）は、電子メールで次のように述べている。

　「取締役会はビジネスの全体像に焦点を当てている。通常、企業は投資家からの支援を確実にするために大きな努力をしている。取締役会は評判や売上高、利益率が最優先事項であることを確認したいと考えているのだ」

　報告書によると、取締役会からのプレッシャーを感じているセキュリティリーダーの43％は「口うるさいと思われている」と回答し、42％は「サイバーリスクについて、過度に否定的であると思われている」と回答している。この報告書は、市場調査企業であるSapio Researchが2600人のITセキュリティリーダーを対象に実施した世界規模の調査に基づいている。

　これらの議論は米国において特に重要だ。米国証券取引委員会（SEC）は、重要なサイバーセキュリティインシデントが発生したと上場企業が判断した場合、4営業日以内にそれらの情報を開示するよう義務付けているためだ。

　また、企業はサイバーリスク戦略に関する情報を毎年開示しなければならない。

　2023年にSECは、SolarWindsと同社のサイバーリスク責任者に対して訴訟を提起し（注2）、同社がサイバーレジリエンスについて投資家を欺いたとして告発した。

　サイバーリスクに関して企業の取締役会と経営幹部に助言を行うCAP Groupのブライアン・ウォーカー氏（CEO）は、取締役会からの圧力に関する調査結果に異議を唱えている。ただし、CISOと取締役会の間におけるコミュニケーションにしばしば齟齬（そご）があることには同意している。

　ウォーカー氏は、電子メールで「ほとんどの取締役会は、他の全ての企業リスクと関連付けながらサイバーリスクを積極的に理解しようとしている」と述べている。

　Proofpointの報告書は、CISOと各企業の連携が強化されている旨を示している。これは、Trend Microの調査結果と矛盾するものだ。2024年の「Voice of the CISO」というレポートによると（注3）、CISOの84％は「サイバーリスクに関して取締役会と意見が一致している」と回答しており、1年前の62％から大幅に改善されている。

　このような改善にもかかわらず、CISOは依然としてサイバーリスクの重荷を背負うことに大きなプレッシャーを感じている。Proofpointの調査によると、CISOの66％が「過剰な期待に直面している」と回答している。この割合は、1年前には61％だった。

　Proofpointのパトリック・ジョイス氏（グローバルリージョナルCISO）は、電子メールで次のように述べている。

　「CISOは主要な経営幹部や利害関係者、取締役会のメンバー、規制当局とより緊密な関係を構築しつつあるが、この緊密は関係はより高いリスク、より多くの圧力、過剰な期待をもたらす」

　CISOの3分の2が個人的な責任について懸念している。この割合は2023年には61％だった。調査対象者の70％以上が「経営層向けの個人賠償責任を補償する保険に加入していない企業には入社しない」と回答している。

（注1）The CISO Credibility Gap:（TRENDMICRO）
（注2）SEC charges SolarWinds, its CISO with fraud（Cybersecurity Dive）
（注3）2024 Voice of the CISO（proofpoint）

原文へのリンク