経営層とセキュリティ専門家が理解し合うには？ NCSCがガイダンスを公開：セキュリティニュースアラート

NCSCは取締役会や役員層がサイバーセキュリティをビジネスリスクの一部として扱うべきだとするガイダンスを発表した。経営層とセキュリティ専門家が相互理解を深めるために必要なポイントがまとめられている。

[後藤大地，有限会社オングス]

　英国立サイバーセキュリティセンター（以下、NCSC）は2024年10月7日（現地時間）、企業の取締役会や役員層に向けたサイバーセキュリティ管理に関するガイダンス「Engaging with Boards to improve the management of cyber security risk」を公開した。

　このガイダンスではサイバーセキュリティを技術的問題ではなくビジネスリスクの一環として扱うべきだとしている。サイバー攻撃が企業の財務や信頼性に及ぼす影響を理解することで、適切な対応策を講じるための基盤が整えられると説明している。

経営層とセキュリティ専門家の間にあるミゾ　理解し合うために必要なこと

　同ガイダンスではビジネスに直結するリスクや対応策を明確に説明することが推奨されている。経営層とサイバーセキュリティ専門家の間で共通の理解を得るためには、複雑な技術的説明ではなくビジネスに関連したリスクの優先順位を重視することが重要であり、サイバーセキュリティの専門用語を排除することが求められるという。また、役員は企業のサイバーセキュリティ状況を把握するため、定期的な報告を求め、リスクの進捗（しんちょく）や対策を監視するための指標を設けることが奨励されている。

　この他、役員は組織全体でのサイバーセキュリティ文化を育成する責任があるとされている。サイバーセキュリティに関する責任はIT部門だけでなく、全従業員が理解し実践すべきものであり、そのためには、役員自身が積極的に関与し、サイバーリスクに対する重要性を従業員に示し、全社的なセキュリティの意識向上を図ることが必要とされている。

　最後に、役員がサイバーセキュリティに関して効果的なリーダーシップを発揮するためには、適切な教育とトレーニングを受けることが良いとされている。これにより、役員はサイバーリスクに対する適切な対応策を判断でき、企業のリスク管理戦略の一環としてサイバーセキュリティを強化する役割を果たせるという。

　昨今ではサイバーセキュリティ対策において取締役会が適切な役割を果たす必要があるという報告が増えている。現在はセキュリティ担当やCISO（最高情報セキュリティ責任者）に責任が偏る傾向が見られるが、そうした体制では効果的なサイバーセキュリティ対策を実施することは難しいという意見が増えており、NCSCが公開したガイダンスも最近の流れに沿った内容になっている。