昨今、取締役会とCISOの関係は改善の余地があります。サイバーセキュリティ企業ProofPointがMITスローン校のサイバーセキュリティと共同で実施したレポートによると、取締役会メンバーの69%がCISOと意見が一致していると回答しているのに対し、CISO側ではわずか51%にとどまっています。
朗報としては、「サイバーセキュリティ:2022年取締役会の展望」レポートで調査対象となった取締役の大半(77%)が、サイバーセキュリティが最優先事項であることに同意していることが挙げられます。取締役の大半(65%)が今後12ヶ月以内にサイバー攻撃のリスクにさらされていると考えているのに対し、CISOではわずか48%でした。
取締役のほぼ半数がサイバー攻撃への備えが不十分だと感じている
取締役のほぼ半数(47%)が、自社は標的型攻撃への対応準備ができていないと回答しました。また、世界経済フォーラムの調査によると、サイバーセキュリティインシデントの95%は人為的ミスに起因するとされているにもかかわらず、人為的ミスを最大のサイバー脆弱性と見なす取締役はわずか3分の2にとどまりました。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
サイバーインシデントによる影響のうち、どの項目が最も重要かについて、取締役会とCISOの間で意見の相違が生じることも少なくありません。取締役会の最大の懸念事項(37%)はデータの公開であり、34%は風評被害、33%は収益損失が最も深刻な影響であると回答しました。一方、CISOはダウンタイム、業務の中断、そして企業価値への影響をより懸念しています。
「取締役会メンバーとCISOが互いに意見を一致させられないことは、組織にとって重大なリスクとなります」と、Proofpointのバイスプレジデント兼グローバル常駐CISOであるルシア・ミリカ氏は述べています。「CISOは取締役会の承認を得る必要があります。両者が互いに連携できなければ、必要なサイバーセキュリティ投資を確保することはほぼ不可能になります。」
このレポートでは、取締役会が直面するサイバー脅威とリスク、それらの脅威に対抗するための準備レベル、そして CISO の意見に基づく CISO との連携という 3 つの要素を検討しました。
CISOと取締役は、最大のサイバー脅威の発生源について一致している
本レポートでは、取締役会メンバーとCISOが直面する最大の脅威について共通の認識を持っていることが明らかになりました。取締役会とCISOはともに、ビジネスメール詐欺(BEC)を最大の懸念事項(41%)に挙げています。取締役会はクラウドアカウントの侵害(37%)とランサムウェア(32%)についても懸念を示しており、CISOは内部関係者を最大の脅威として挙げています。
しかし、その認識は資金提供には結びついていません。取締役会の75%が組織のシステミックリスクを理解していると回答したものの、76%はサイバーセキュリティに十分な投資を行っていると回答し、75%はデータが適切に保護されていると回答しました。
「取締役会はひたすら利益にばかり気を取られ、CISOはしばしば専門用語に囚われています」とミリカ氏は述べた。「このようなコミュニケーションの欠如とサイバーリスクに関する共通理解の欠如は、今日の脅威に対抗しようとする組織にとって大きな不利な状況をもたらす可能性があります。」
多くの人が意外に思うかもしれないが、取締役会の80%が、組織は重大なサイバー攻撃を合理的な期間内に規制当局に報告することを義務付けられるべきだと回答した。反対したのはわずか6%だった。
「新たなサイバー規制を遵守するにはコストが増加する可能性があるが、取締役会は規制当局の支援なしに遅れて対応した場合の代償の方がはるかに大きいことに気づき始めている」とミリカ氏は述べた。
レポートについて
「サイバーセキュリティ:2022年取締役会の視点」レポートでは、米国、カナダ、英国、フランス、ドイツ、イタリア、スペイン、オーストラリア、シンガポール、日本、ブラジル、メキシコを含む12か国のさまざまな業界の従業員5,000人以上の組織の取締役600人からの調査回答を調査しました。
