サイバーセキュリティ、ガバナンス、監督責任：取締役会が抱えるリスク

日常にテクノロジが深く浸透しあらゆる場面で活用されるようになるにつれて、ネットワークやデータの安全性確保のために、セキュリティソリューションの導入が急務となっています。この変化にうまく対応できている企業は少なく、多くは、自社インフラのアップグレードで乗り切ろうとしており、サイバーセキュリティの重大なギャップを生む可能性があります。最近、資金力のある大企業や公的機関を狙ったランサムウェアの攻撃が相次ぎました。この事態はあらゆる企業にとってもはや他人事ではありません。 

もはや過ちは許されません。2020年だけをとってみても、ランサムウェア攻撃によるデータ侵害の平均被害額は440万ドルに達しています。この数字には、ランサムウェアや破壊力の大きいマルウェア、乗っ取られてしまったログイン情報やIDによる被害は含まれていません。テクノロジに精通した戦術的なハッカーからの攻撃を食い止めようと、企業はサイバーセキュリティのコンサルティングやソリューションへの投資を活発化させています。この市場は、 2028年までに4,180億ドルに達すると予想されています。サイバー攻撃の増加に反応する形でサイバーセキュリティ対策の投資が増加しています。昨年1年間で43％の企業 が標的となりました。しかも、狙われているのはデータだけにはとどまりません。 

自社がサイバー攻撃の対象になりうると捉えている割合 

2020 Deloitte Cyber Survey: Cyber Security Leadership Chart 

サイバーセキュリティによって危険にさらされるものとは 

データ破損やプライバシー侵害の脅威は、日を追うごとに増大しています。リモートワークやハイブリッドワークへの依存度が高まるにつれ、これまでクラウドシステムやオープンネットワークで悪用されてきたセキュリティ上の欠陥による被害が拡大しています。5Gネットワークを導入したり、モノのインターネット（IoT）を活用したりしている企業は、サイバー攻撃を受けた場合大きな被害を受けることになります。 

しかし、セキュリティを心配するあまり企業の進歩を止めることはできず、そのような事態は避けなければなりません。80%近くの企業が、セキュリティ対策を実施せずに新しい技術革新を導入しており、システム侵害は顧客やステークホルダーとの信頼関係に亀裂を生んでいます。その結果、ほとんどの場合業務が中断され、データが失われたり盗まれたりすることで収益の悪化を招いています。 
 

サイバーセキュリティ違反における真の責任者 

技術的な問題をITチームに丸投げする時代は終わりました。現代のほとんどの企業はテクノロジを中心に成り立っており、その依存度も時とともに高まる一方です。 

システムの実装、監視、維持のためには知識が豊富なITチームが必要です。しかしながら、システムの購入とその有効性に関する責任は、 主に経営陣にあります。取締役会の監督下にある上場企業であってもこれは例外ではありません。 

事実、TargetやEquifaxの例で見られたように、データ漏えいとその影響に対して責任を負うのは経営陣です。Targetの和解案では、セキュリティ対策の実施、独立機関によるセキュリティ評価、そして今後の経営陣の責任が求められました。 

経営判断の原則（Business Judgment Rule）では包括的な保護が認められている一方、裁判所の判断では、不適切なセキュリティ対策に対する個人的な責任や、役員や取締役が合理的な行動を取らなかった場合の責任が考慮されており、予防可能とされる状況の防止に責任を負うものと見なされるケースが多くあります。 

さらに、その罰則は厳しく損失を招く可能性があります。データ損失や企業への経済的な悪影響に加えて、訴訟や経営陣の交代に際してもコストと時間を費やすことになります。Office of the Comptroller on Currency（米国通貨監督庁）などのサイバーセキュリティ規制当局も、違反行為に対して莫大な罰金を科しています。 

サイバーセキュリティのガバナンス対策 

リスク管理対策は、取締役会で方針が決められたのち、実行チームの手に渡ります。そのため取締役会では継続的に情報を入手して先手を打つことが大切です。しかし、取締役会にはサイバーセキュリティの専門家が不在であることがあります。リーダーシップの観点からサイバー犯罪のリスク軽減に取り組むにはどうすればよいのでしょうか。企業を対象としたある調査では、少なくとも月に一度経営会議でセキュリティ問題を検討すると回答したのは、回答者の3分の1をわずかに超える程度でした。  

取締役会でサイバーセキュリティが議題にのぼる頻度 

2020 Deloitte Cyber Survey: Cyber Security Leadership Chart 

積極的なデューデリジェンスは、出発点としては効果的です。また、専門家やテクノロジソリューションを活用して知識のギャップを埋めることも重要です。PwCでは、取締役会がすべてのステークホルダー間の効果的なコミュニケーションとプロセスを促進するために、NIST（米国国立標準技術研究所）のCSF（サイバーセキュリティフレームワーク）の利点を取り入れることを推奨しています。 

ここからは、取締役が組織のためにより良いサイバーセキュリティガバナンスを確立し、実現するためのいくつかの方法を検討していきます。取締役が、他の分野と同様に特定のソートリーダーではない立場として取り組むことが重要です。教育、情報発信、啓発によって、これまで対応不足であったり低迷していた取り組みに対処できるようにします。 

全体像の把握 

知らない分野は自力では把握できません。取締役会は、ITリーダーや組織内の関係者から報告を受けることから始めます。専門家を招き、テクノロジスタックの変遷やそこに存在するギャップについて、包括的な評価を提示してもらいます。 

データや事実に基づいて理解を深めるためには、さらに詳細な報告を求めることも必要です。このようにして得られた情報は、今後のサイバーセキュリティポリシーの改善ために、課題や成果、推奨行動の検討に活用できます。 

セキュリティ監督責任者の設定 

会社のセキュリティニーズと現状を把握するために、取締役会の中から担当者（単独のメンバーまたは委員会）を任命します。この担当者は、継続的に最新情報を提供する役割を担います。もたらされた情報によって大きな問題が予想される場合は、より広範な取締役会による評価や評決に委ねられます。 

委員会のメンバーは、専門的な知識を事前に持ち得ていないかもしれません。しかし、今後スペシャリストになることは可能です。社内の専門家、第三者のコンサルタント、ベンダ、そしてテクノロジソリューションを活用して、事前に計画を立てて状況をよりよく理解することが重要です。 

客観的な指標の活用 

リスク評価は、新たな脆弱性を常に見つけ出す継続的なプロセスです。ペネトレーションテストのようにセキュリティコンプライアンスの抜け穴を見つけるために、第三者を加えることが非常に効果的です。セキュリティコンサルタントや、サポートソフトウェアアプリによって、ネットワークの潜在的なリスクについての洞察を得ることができます。 

ゼロトラストモデル 

ゼロトラストモデルとは、その名のとおり、ネットワーク内に出入りしたり、移動したりするものは信頼できないと仮定し、管理システムによって検証またはクリアされるべきだとするモデルです。これにより、オンプレミスとクラウドソリューション、プロプライエタリなアプリとサードパーティのアプリ、クローズドネットワークと共有アクセスなどがパッチワークのように混在する企業環境において大きな効果を発揮します。  

リモートワークや無数のデバイスが混在する環境では、「何も信頼しない」という考え方が最善の安全策として浮上しています。企業はこのアプローチによって、インフラの既存の抜け穴を塞ぎ、長期的なリスクを軽減することができます。取締役会でこのモデルを研究することで多くの知見を得ることができます。 

透明性の高い社風の創造 

自社のサイバーセキュリティプロトコルに存在する未解決のギャップは公開したくないものですが、透明性を保つことで生まれるメリットもあります。侵害が発生した場合には、ステークホルダーや顧客に報告できることをすべて開示します。そうすることで、取締役会が問題に対処し、データを保護し、あらゆる失敗の責任を取るために全力を尽くしているという信頼と信用を得ることができます。 

常に変化する将来 

取締役会は、サイバーセキュリティが絶え間ない監視と革新を必要とする、動的に変化する分野であることを理解する必要があります。リスクを軽減するための基礎を築くことは重要ですが、リスクは継続的に存在することを意識することも重要です。 

また、企業は、既存の保険契約を評価し、侵害の発生時に資産価値を適切にカバーできるか、また、専用のサイバー保険がリスクをさらに軽減できるかを検討する必要があります。しかし、保険の規模にかかわらず、リーダーは企業のサイバーセキュリティに関与して教育を受け続けることで、責任を常に自覚して侵害の際のポリシーと手順を準備しなければなりません。 

免責事項：この記事は、ゼットスケーラーが情報提供のみを目的として作成したものであり、法的な助言として利用するべきものではありません。この記事の内容が読者の組織に対してどのように適用されるかについては、適用される法律や規制の下での独自の義務を含めて、読者の組織の法律顧問にご相談ください。Zscalerは、この記事に記載する情報について、明示的、黙示的、または法定の保証を行わず、「現状のまま」提供されます。URLやその他のインターネットWebサイトの参照などのこの記事に記載されている情報や見解は、予告なく変更される場合があります。