インシデントに対するCEOの責任が高まりつつある今、CEOはサイバーセキュリティの技術的な側面に精通する必要は必ずしもないが、攻撃の発生に備えたり、攻撃を未然に防いだりするための準備をすべきだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2024年の初め、ヘルスケア企業であるUnitedHealth Groupのアンドリュー・ウィッティ氏(CEO)は(注1)、同社のグループ企業であるChange Healthcareに対して実行された同年2月のサイバー攻撃について議会で証言した。この攻撃は推定で米国人の3分の1に影響を及ぼし、数カ月にわたり請求処理やプロバイダーへの支払い、事前認可の要求および適格性のチェックを中断させた。
この事件が注目されたのは、サイバーセキュリティの侵害が増加している一方で、政府の最高レベルの場で、CEOがセキュリティに関する質問に答えることが珍しかったためだ。
しかしこうした状況は変わりつつある。それは侵害によるリスクが変化しているためだ。特に、UnitedHealth Groupの例のように、個人情報や健康情報の漏えいにつながる侵害はリスクが高い。
サイバーセキュリティ企業であるNCC Groupの元シニアバイスプレジデント兼プロフェッショナルサービス部門の責任者であり、現在はAmazon Web Services(以下、AWS)のProServe Securityのシニアマネジャーを務めるケビン・ダン氏は、次のように述べた。
「影響の面でサイバーリスクは従来のリスクをはるかに上回っている」
CEOは自社のサイバーセキュリティ計画を斜め読みで軽く扱うことはできなくなっている。重大なインシデントが発生した場合、解雇や辞任の強要、株主代表訴訟、証券取引委員会からの告発といったリスクを負うためだ。
金融サービス企業であるTrustnetのトレバー・ホロウィッツ氏(創設者兼最高情報セキュリティ責任者)は「サイバーセキュリティに関するCEOの役割が変わったわけではないが、リスクに対するCEOの認識と関与の度合いは変わった」と話した。
ホロウィッツ氏によると、10年前はサイバーセキュリティがITとコンプライアンスの問題として捉えられていたという。同氏は「仮に侵害があったとしても、その影響はそれほど重大なものでなく、CEOの役割は主にインシデント発生時にハイレベルな決定を下すことだった」と述べている。
「現在、サイバーセキュリティは事業運営と企業の評判に対する潜在的な脅威である。CEOは、サイバーセキュリティをビジネスの全体戦略に統合し、サイバーセキュリティとビジネス目標を一致させるという任務を負っている」(ホロウィッツ氏)
ダン氏は「古い言い訳はもう通用しない」と付け加えた。
ウィッティ氏によると、UnitedHealth Groupの場合、ハッキングの原因はChange Healthcareの買収に伴うものであり、セキュリティを標準にまで引き上げていなかったことに起因するようだ。同社を侵害したものは、高度なハッキングではなかった。ウィッティ氏は「Change Healthcareは多要素認証(MFA)を有効にしていなかった」と証言した。
UnitedHealth Groupがビットコインで2200万ドルの身代金を支払ったことを含むウィッティ氏の回答は、議会には受け入れられなかった。
オレゴン州選出の上院議員であるロン・ワイデン氏は、上院財務委員会の公聴会で「このハッキングはサイバーセキュリティの基本で阻止できたはずだ」と述べた。ワイオミング州選出の上院議員であるジョン・バラッソ氏は「私の故郷の小さな地方病院でさえMFAを導入している」と指摘した。
ウィッティ氏にとって恥ずべき数日間であっただけでなく、このような情報侵害は、議会が企業関係者の証言を強制する以上の潜在的な影響力を持つ可能性がある。
Gartnerのカテル・ティーレマン氏(バイスプレジデント・アナリスト)によると、CEOは米国証券取引委員会(SEC)に対する責任も負っているという。つまりCEOは株主に対する責任も負っており、監督する企業が(電力やガス、鉄道、空港などの)重要インフラ業界に属する場合は、国に対しても責任を負う。
「政府は『申し訳ない』で済む問題ではないと述べている。重要インフラが停止することによる国家安全保障および経済繁栄への影響は、私たちが容認できるものではない」(ティーレマン氏)
ティーレマン氏によると、ITソフトウェア企業であるSolarWindsに対する大規模なセキュリティ侵害の後に、同社のCISO(最高情報セキュリティ責任者)に起こったように、著名なセキュリティインシデントには株主訴訟やSECからの訴追といった法的影響の可能性もある(注2)(注3)。
ティーレマン氏は「SolarWindsの場合、CEOは追求されていないが、仮に投資家に対して誤った情報や明らかな虚偽の発言があったと判明した場合、CEOの追及を行う旨が示唆されている。CISOを追及できるのであれば、CEOに対しても同じことをするだろう」(ティーレマン氏)
サイバー攻撃に備えたり、攻撃を未然に防いだりするために、CEOがサイバーセキュリティの技術的な専門家になる必要は必ずしもない。
ホロウィッツ氏は「CEOは、サイバーセキュリティ戦略全体における役割を果たすべきだ。それにはリスク軽減戦略やインシデント対応計画、災害復旧計画の策定と実施の監督などが含まれる」と述べた。
「侵害が発生した場合、CEOはインシデント対応計画の発動や意思決定、主要な利害関係者とのコミュニケーション、取締役会への情報提供などについて、細部にわたって関与する」(ホロウィッツ氏)
これは、侵害が発生する前にサイバーセキュリティを徹底して掘り下げることを意味する。
「企業が安全であるという曖昧な保証でチームを責任から解放するわけにはいかないだろう。CEOは、技術的な側面に代わり、カバーしている範囲と深さ、自社のサイバーセキュリティにどれだけの自信を持っているかについて深く掘り下げる質問をすべきだ」(ダン氏)
© Industry Dive. All rights reserved.