CISOに責任を押し付けるのはやめよう セキュリティの“優先順位”を上げるには：Cybersecurity Dive

企業はサイバーセキュリティをビジネスリスクとして捉えず、その責任をIT部門やCISO（最高情報セキュリティ責任者）になすりつけている。では企業がセキュリティの優先順位を上げるにはどうすればいいのか。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の長官であるジェン・イースタリー氏は2025年1月8日（現地時間、以下同）、ブログ記事で「企業はサイバーセキュリティリスクに対する責任を、経営幹部や取締役会を含む企業統治の最上層のレベルで担うべきだ」と述べた（注1）。

CISOに責任を“押し付け”　セキュリティの“優先順位”を上げるには？

　また、イースタリー氏は「企業はサイバーセキュリティをビジネスリスクとして戦略的に受け入れる必要がある」とも述べている。経営幹部や取締役会による認識と参加なしに、サイバーセキュリティの責任をIT部門やCISO（最高情報セキュリティ責任者）に負わせる状況はもはや許されない。

　「今こそ、CEOや取締役会が、企業のサイバーセキュリティに関する責任をガバナンスの一環として積極的に受け入れる時だ。全ての組織が、自社の従業員やパートナー、顧客の安全を合理的に確保する義務を負っていると認識する必要がある」（イースタリー氏）

　中国やロシアをはじめとする国家と密接な関係を有する攻撃者が、米国の（電力やガス、鉄道、空港などの）重要インフラを狙って高度なサイバー攻撃を仕掛けているため、サイバーセキュリティガバナンスのより強力な推進が求められている。

　CISAは2023年に、サイバーリスクの管理方法に関するハンドブックを作成するために、NACD（National Association of Corporate Directors）およびISA（Internet Security Alliance）と提携した（注2）。

　イースタリー氏は、トランプ政権が発足する際にCISAの局長を退任する予定だ（注3）。

　国家サイバーディレクターのハリー・コーカー・ジュニア氏が「中国やロシア、その他の敵対勢力が支援する悪質なサイバー活動に対抗するため、米国は抑止力強化の取り組みを迅速化させる必要がある」と警告し、その翌日にイースタリー氏がこの度の懸念を提起した（注4）。

　コーカー氏は「国内の重要インフラの大半が民間企業によって運営されているため、民間企業の役割が極めて重要だ」と指摘した。当局は民間企業に対して、強固なネットワーク防御を維持し、脅威情報を共有することを求めている。

　CISAが主導する「Secure by Design」の誓約に約260社が署名している。この誓約は、テクノロジー企業やその他の企業が安全な開発手法を順守するための自主的な取り組みであり、ソフトウェアを初期状態から安全なものにすることを目指している。

　イースタリー氏は、サイバーセキュリティを優先事項とするために取締役が取るべき幾つかの行動を以下の通り列挙している。

• CISOが十分な権限を持ち、組織内でサイバーセキュリティを優先するために適切な影響力とリソースを持てるようにする
• 経営幹部がサイバーリスクについて十分な教育を受け、ビジネスおよび技術、ソフトウェアの調達に関する意思決定にサイバーリスクに関する考慮を完全に組み込むようにする
• 企業のサイバーリスクフレームワークを見直し、共通の基準を確実に策定する

（注1）Corporate Cyber Governance: Owning Cyber Risk at the Board Level（CISA）
（注2）CISA director urges top business leaders, board members to take cyber risk ownership（Cybersecurity Dive）
（注3）Easterly to step down from CISA director role on Inauguration Day（Cybersecurity Dive）
（注4）National cyber director calls for deterrence against China-affiliated cyber threats（Cybersecurity Dive）

原文へのリンク