• Xでシェア
• Facebookでシェア
• LINEでシェア
• LinkedInでシェア
• 記事をクリップ
• 記事を印刷

取締役会は自社のサイバーセキュリティ対策を過大評価している

　取締役会は、自社のサイバーセキュリティ対策と、それに関するみずからの指導力を過大評価しがちだ。最近、筆者らは取締役会がどのようにサイバーセキュリティに対処しているかをより深く理解するために、151人のエグゼクティブに調査を行った。その結果、エグゼクティブの71％が自社のサイバーセキュリティの予算は十分（49％）または潤沢（21％）と感じている一方で、取締役会の「サイバーセキュリティの機会とリスクへの理解」が先を見越したものであると評価した人は、39％に留まった。また、自社のサイバーセキュリティ対策を最もよく表す言葉として「先駆者」または「早期の導入者」を選んだ人は31％にすぎなかった。

　このギャップは重大だ。大まかに言うと、取締役会におけるより大きな断絶が露呈しているのである。あまりにも多くの取締役が、みずからの役割を成長を推進するために任じられた戦略アドバイザーと捉え、長期的な事業の安定と存続可能性を確保するためのガバナンスを最優先するスチュワード（受託責任者）だとは思っていない。しかし、特にサイバーセキュリティに関していえば、スチュワードシップこそが適切なアプローチである。スチュワードシップを果たす取締役は、リーダーシップチームがデジタル時代のリスクをより適切に予測し、必要なリソースを明確にして、対応計画を検証し、事業の中断を最小限に留めるために、積極的に行動する。これらはサイバーレジリエンスと事業の継続性を確保するために必要な行動である。

サイバーセキュリティをめぐる取締役会の3つの誤り

　準備不足は重大な結果を招く。侵入型のサイバー攻撃は時代遅れのシステムにつけ入る。防御が不十分だったり対応が惰性的だったりすると、戦略面、評判面、業務面で大きなコストを伴う被害が生じることも多い。こうした被害は避けられないとしても、最小限に抑えられるはずのものだ。だが、主要な企業への攻撃は続々と行われ、成功している。

　取締役会はどうすればスチュワードとしての役割をよりよく果たせるのだろうか。サイバーケイパビリティ（能力）の強化に最も効果的なのは、次の3つの是正可能な誤りに対処することだ。

「何もしないこと」が事業にもたらす影響を過小評価する

　多くの取締役は、戦略ビジョンや成長、最近の成果、将来の目標については気分よく語る。だが、サイバーレジリエンスの構築は、何もしないでいることのマイナス面を列挙することから始まる。そして、サイバーセキュリティの予算不足の影響を見過ごしている取締役会があまりに多い。

　サイバーインシデントのリスクがある中で、対策を講じないことの代償は、不安や気まずさを伴う問いとなって突きつけられる。取締役やエグゼクティブ、従業員は1日の事業の価値を知っているだろうか。会社は戦略から逸脱することなく、どれだけの短期的な業務中断に耐えられるか。会社のどの部分が、まだサイバー攻撃への「備え」ができていないか。取締役会は何について質問し、知り、より早く防ぐべきだったか。

　最善の答えを出すためには、まず、取締役会がどのようにサイバーセキュリティの費用に対処しているか、その決定が将来、どのような想定外の影響を事業にもたらしうるかを再検討する必要がある。サイバーセキュリティが単なるコストと見なされると、コンプライアンス上の経費と認識され、業務マネジャーに委託できるものとして片づけられがちだ。

　一方、スチュワードシップの視点では、サイバーセキュリティの価値と事業における重要性が認識されている。また資金調達と監督に関する意思決定は、良くも悪くも戦略的に重大な影響を及ぼしうると見なされ、取締役会レベルで扱うべき問題と考えられている。

　サイバー攻撃により休業した結果、収益減、是正措置、裁判費用、規制違反の罰金に100万ドル単位のコストを要した多くの例が、広く報道されている。多くはある種の無策が原因である可能性が高い。

　たとえば、ヘルスケア大手のユナイテッドヘルスに買収され傘下となったチェンジ・ヘルスケアは、一般的な多要素認証を導入しておらず、ハッキングによって1億9000万人分の個人情報が流出した。そのため規制当局の調査が入り、これまでに25億ドルを超える是正措置によるコストがかかっている。

　また2023年、大手日用品メーカーのクロロックスは、5億ドル規模で5年を要するシステム全体のIT点検の最中にサイバー攻撃を受け、ほぼ2カ月間、生産工程を手動に戻すことを余儀なくされた。そのため遅延や商品の損失、収益減、利ざやの減少、株価の下落スパイラルという結果を招いた。同社は、「サイバー攻撃は、価格設定のメリット、コスト削減、サプライチェーン最適化を帳消しにする以上の影響を及ぼした」と認めている。

技術的負債を積み上げすぎている

　また技術的負債も、回避可能なサイバーリスクや競争上の不利益を生み出す、重大で、見えにくく、正しく理解されていない要因だ。技術的負債は、旧式のインフラ、保守点検の先送り、期限切れのソフトウェア、システムアップグレードの未実施、パッチの欠落などの領域によく見られる。こうした気づかれにくいリスクはしばしば、不要な脆弱性、想定外のダウンタイム、生産性の喪失につながる。多くの場合、準備不足の企業は、サイバー犯罪者に技術的負債の弱点を突かれるとほとんどなす術がなく、業務を停止することになる。

　取締役会は「デューディリジェンスのアプローチ」によって、技術的負債に対処できる。企業が合併や買収の前段階で相手企業の成長の見込みを数値化し、潜在的リスクを明らかにし、将来のキャッシュフローを推定する手法とよく似ている。技術的負債を明らかにし軽減するためには、M&A（企業の合併・買収）の2つのデューディリジェンスの検証が役に立つ。資産価値の減損評価と偶発債務の推定だ。

　たとえば、十分なテクノロジー投資が行われずに時代遅れとなったサイバー防御は、正常に動作せず期待された仕事ができない機器のようなものだ（減損資産）。2022年、ヘルスケアサービス企業のテネット・ヘルスケアはサイバー攻撃によって、複数の救急医療センターの業務を一時的に停止することを余儀なくされた。同社の小規模な医療施設のインフラやシステムは旧式で、重要な冗長性、安全装置、バックアップ処理を欠いていた。業務の中断によって、入院や診察、請求作業に遅れが出て、第2四半期の利益はおよそ1億ドル減少した。

　同じように、偶発債務の推定も、対処できていないサイバーセキュリティの脆弱性やアウトソーシングへの過度な依存が、大きな是正措置コストや訴訟の可能性につながることを理解する助けになる。2024年、ハッカー集団は皮肉にもクラウドデータプラットフォームのスノーフレークのセキュリティサーバーを利用して、ライブエンタテインメント企業のライブネーションや百貨店チェーンのニーマン・マーカス、サンタンデール銀行など、有名企業150社以上の顧客データにアクセスした。米国最大手の通信企業、AT&Tのデータ侵害の事例では、顧客1億人の数カ月分の通話およびテキストメッセージの通信記録がほぼすべて流出した。解決には多大な費用を要し、長期間に及ぶことが予想される。だが、どの事例も、十分かつ実行可能なサイバーセキュリティのデューディリジェンスを実施していれば、未然に防げた可能性が高い。

悪い知らせを事業改善の機会として受け入れない

　マネジャーも人間なので悪い知らせを軽視したり、時には隠したりすることさえある。サイバーセキュリティに関する「ニアミス」程度の問題も、ベテランのエグゼクティブがその話を取締役会に上げるのをためらうことがある。人はたいてい、誤りや過失、失敗について他の人に話したり責任を負ったりしたくないものだ。

　スチュワードシップのマインドセットは、「何がうまくいく必要があるか」と「何がうまくいかない可能性があるか」を問う文化を醸成して、リスク情報を広く共有することを奨励し、組織内の責任転嫁を根絶することによって、悪い知らせを軽視したり隠ぺいしたりする行動を抑制する。

　2019年、金融サービスを手掛けるファースト・アメリカン・ファイナンシャルが受けたデータ侵害では、約8億件もの住宅ローンのデータ画像が流出した。取締役らが関知する前に、未確定の社内用ITセキュリティ報告書が開示されたので、取締役会はほとんど対応できなかった。この前代未聞の事例で、米証券取引委員会（SEC）は厳しい警告を出した。「ファースト・アメリカン・ファイナンシャルは開示を適切に統制しておらず、経営幹部はこの脆弱性について、またそれを是正できていないことを、まったく認識していなかった。証券の発行者は、投資家にとって重要な情報が、開示責任のある上級職に確実に報告が上がるようにしなければならない」

　サイバーセキュリティに熱心に取り組む取締役会は、サイバーリスクを除去することはできないが、もし自分たちが「みずからの知識の限界をわきまえる」ならば、脆弱性やセキュリティインシデントに対してより早期に、より迅速に、より適切な対処ができると認識している。具体的には、スチュワードシップの考え方は迅速かつ率直で明快なコミュニケーションを推進する。こうした要素は、防御と対応を強化してサイバーセキュリティのリスクに対処するために不可欠だ。

　サイバーインシデントが発生してから、悪い知らせの共有を始めるのでは遅い。スチュワードは日頃から未解決の問題を探り、それを事業の改善、プロセスの強化、リスクの低減、事業マネジャーとの信頼関係の構築の機会として活かそうとする。はっきりと意見を言えるオープンな対話は、サイバーインシデントの対応計画、備え、効力を直接的に強化する。

　そうした努力をしないならば、「土壇場で答えを探し回る」ことや「何とかやり過ごす」ことが、サイバー危機への通常の対応になってしまう。一方、スチュワードは、障害が起こるはるか前から、独立したアセスメントと厳しい対話を積み重ねて、信頼性の高い万一に備えた計画を冷静に作成する。

よりよいスチュワードになるための5つのステップ

　今日の激しく変動するビジネス環境は、取締役会が制御しきれないサイバーリスクであふれている。だが、スチュワードシップのマインドセットがあれば、回避可能かつ不用意なミスを大幅に減らし、防ぐことができる。以下では、スチュワードシップを推進し洗練させるために、取締役が実行できる5つのステップを紹介する。

スチュワードシップを取締役会のサイバーセキュリティの議論や意思決定の要にする

　簡単に言えば、スチュワードシップが公然と、また日常的に、取締役会の協議に枠組みを与え、下支えしているならば、スチュワードシップは最重視されやすい。そうすれば、取締役はサイバーセキュリティについて「全体を見据えた」質問をし、先を見越して考え、先手を打って行動し、戦略的な監督義務を果たすことができる。

サイバーチームに何もしないことの影響を幅広く考えさせる

　取締役会は、技術システムやソリューションの設計・開発・導入に際し、サイバー脅威による戦略面、財務面、業務面、評判への影響に事業リーダーが対処するよう求めるべきである。そうした全体的視点に立つことによって、スタッフによるサイバーセキュリティの技術的な議論は、取締役らが十分な情報に基づいてリスクマネジメントの意思決定を下すうえで、有益なものとなる。

デューディリジェンスを頻繁に実施して、技術的負債をよく理解し減らしていく

　デューディリジェンスはスチュワードシップの考え方を具現化する。デューディリジェンスを実施することによって、「保守点検の先送り」がサイバーセキュリティとテクノロジーのリスクを生み出して戦略を脅かし、バリューチェーンに支障をきたし、業績を悪化させ、ステークホルダーをいら立たせる状況を生み出す前に、リスクを発見し、明らかにし、評価できるのだ。また、サイバーセキュリティの資金の問題の焦点を、予算限度ではなく事業への影響へと転換する。アセスメントが頻繁に実施されていると、M&Aを検討している取締役会は、取引価値を損ない、事業統合を妨げ、成長を危うくする技術的負債という障害を減らすようになる。

サイバーセキュリティ投資のコストだけではなく、戦略的優位を考慮する

　スチュワードシップがあれば、サイバーセキュリティのコストを競争優位の要因として捉え直すことができる。経営状態が良好な企業は、優れた評判や顧客の厚い信頼、最高の人材の保持、サプライヤーとの強力な関係、資金調達におけるパートナーシップから大きなメリットを享受している。デジタル防衛はサイバー脅威を回避するだけでなく、こうした重要な無形の差別化要因を強化する。

取締役会のサイバー情報のアップデートを学習の機会にする

　最高のサイバーセキュリティプログラムを備えた組織でさえ、目まぐるしく進化し、次々と発生する脅威に遅れずに対応しようとすると、圧倒されてしまうかもしれない。サイバーセキュリティは本質的に不確実性を伴う課題であるが、サイバーレジリエンスの確保は必須である。それを踏まえると、取締役会は、パフォーマンスや事業の問題を個人の責任とせずに学習を促進する文化を構築する絶好の機会となる。これによって、従業員が潜在的な問題を提起するようになり、取締役会と会社はサイバーセキュリティのニーズをより的確に予測できるようになる。

＊　＊　＊

　取締役会がサイバーセキュリティのリスクを減らし、レジリエンスを向上させ、実現可能で持続できる成長の現実的な基盤を据えたいならば、スチュワードシップのマインドセットが不可欠だ。スチュワードシップの視点は、効果的なサイバーセキュリティを、コンプライアンスと統制の取り組みから持続的な戦略的優位の柱へと格上げするような、有意義な思考と実質的な行動を促進する。そのように、健全なスチュワードシップはデジタル時代の成功を導き、組織全体の未来を確かなものにするだろう。

"Boards Need a More Active Approach to Cybersecurity," HBR.org, May 20, 2025.