取締役会がサイバーリスクに備える5つのステップ
Illustration by Ryan McAmis
サマリー:多くの取締役会は、自社のサイバーセキュリティ対策や自身の指導力を過大評価し、リスクへの備えが不十分な状態に陥っている。こうした状況では、重大な被害や損失を招く危険性が高い。取締役会には、スチュワードシ... もっと見るップの視点でリスク管理を行い、技術的負債や悪い知らせも積極的に活かす姿勢が求められている。本稿では、サイバーセキュリティをめぐる取締役会の3つの誤りを踏まえたうえで、取締役会がサイバーリスクに備え、持続可能な成長を実現するための具体策を示す。 閉じる

取締役会は自社のサイバーセキュリティ対策を過大評価している

 取締役会は、自社のサイバーセキュリティ対策と、それに関するみずからの指導力を過大評価しがちだ。最近、筆者らは取締役会がどのようにサイバーセキュリティに対処しているかをより深く理解するために、151人のエグゼクティブに調査を行った。その結果、エグゼクティブの71%が自社のサイバーセキュリティの予算は十分(49%)または潤沢(21%)と感じている一方で、取締役会の「サイバーセキュリティの機会とリスクへの理解」が先を見越したものであると評価した人は、39%に留まった。また、自社のサイバーセキュリティ対策を最もよく表す言葉として「先駆者」または「早期の導入者」を選んだ人は31%にすぎなかった。

 このギャップは重大だ。大まかに言うと、取締役会におけるより大きな断絶が露呈しているのである。あまりにも多くの取締役が、みずからの役割を成長を推進するために任じられた戦略アドバイザーと捉え、長期的な事業の安定と存続可能性を確保するためのガバナンスを最優先するスチュワード(受託責任者)だとは思っていない。しかし、特にサイバーセキュリティに関していえば、スチュワードシップこそが適切なアプローチである。スチュワードシップを果たす取締役は、リーダーシップチームがデジタル時代のリスクをより適切に予測し、必要なリソースを明確にして、対応計画を検証し、事業の中断を最小限に留めるために、積極的に行動する。これらはサイバーレジリエンスと事業の継続性を確保するために必要な行動である。

サイバーセキュリティをめぐる取締役会の3つの誤り

 準備不足は重大な結果を招く。侵入型のサイバー攻撃は時代遅れのシステムにつけ入る。防御が不十分だったり対応が惰性的だったりすると、戦略面、評判面、業務面で大きなコストを伴う被害が生じることも多い。こうした被害は避けられないとしても、最小限に抑えられるはずのものだ。だが、主要な企業への攻撃は続々と行われ、成功している。

 取締役会はどうすればスチュワードとしての役割をよりよく果たせるのだろうか。サイバーケイパビリティ(能力)の強化に最も効果的なのは、次の3つの是正可能な誤りに対処することだ。

「何もしないこと」が事業にもたらす影響を過小評価する

 多くの取締役は、戦略ビジョンや成長、最近の成果、将来の目標については気分よく語る。だが、サイバーレジリエンスの構築は、何もしないでいることのマイナス面を列挙することから始まる。そして、サイバーセキュリティの予算不足の影響を見過ごしている取締役会があまりに多い。

 サイバーインシデントのリスクがある中で、対策を講じないことの代償は、不安や気まずさを伴う問いとなって突きつけられる。取締役やエグゼクティブ、従業員は1日の事業の価値を知っているだろうか。会社は戦略から逸脱することなく、どれだけの短期的な業務中断に耐えられるか。会社のどの部分が、まだサイバー攻撃への「備え」ができていないか。取締役会は何について質問し、知り、より早く防ぐべきだったか。

 最善の答えを出すためには、まず、取締役会がどのようにサイバーセキュリティの費用に対処しているか、その決定が将来、どのような想定外の影響を事業にもたらしうるかを再検討する必要がある。サイバーセキュリティが単なるコストと見なされると、コンプライアンス上の経費と認識され、業務マネジャーに委託できるものとして片づけられがちだ。

 一方、スチュワードシップの視点では、サイバーセキュリティの価値と事業における重要性が認識されている。また資金調達と監督に関する意思決定は、良くも悪くも戦略的に重大な影響を及ぼしうると見なされ、取締役会レベルで扱うべき問題と考えられている。