サイバーセキュリティを技術的なトピックではなく、
世界経済フォーラムの調査によると、サイバーセキュリティインシデントの95%はヒューマンエラーによるものだが、ヒューマンエラーが最大のサイバー脆弱性であると考える取締役は67%にすぎない。これは、自分たちが直面している組織的なリスクを認識していない取締役会が存在することを示しているかもしれない。
さらに、調査参加者の半数がCISOのサイバーセキュリティに関する専門知識を最も高く評価しており、次いで技術的専門知識(44%)、リスク管理(38%)となっている。これが示唆するのは、サイバーセキュリティのトピックが議題として取り上げられても、取締役会はそれを技術的な問題としてとらえているということである。
取締役会がサイバーセキュリティを技術的なトピックとしてしか見ていないと、会議では業務的なトピックとされ、注目されにくい。取締役会は時間が限られているため、適切な監督のための必要かつ微細な点をすべてその会議で網羅することは困難だ。
取締役は、技術的な概念について十分な知識がないため、質問を適切に表現できない、あるいは回答を理解できないと感じ、難しい質問をするのを躊躇するかもしれない。サイバーセキュリティを組織の問題としてとらえることで、技術的な課題から経営的な課題についての議論になる。サイバーセキュリティを組織の戦略的な急務と見なすと、取締役会レベルの議論に適したものになる。
取締役会は、次のような質問をすべきだ。「サイバーセキュリティに関する潜在的な事故の可能性と、それによるビジネスへの技術的リスクは何か」「そのリスクが顕在化することによって生じる損害を軽減するために、どのような対策をしているか」「潜在的なサイバーインシデントによる組織的なリスクは何か、またその影響から迅速に回復するためにどのような対策をしているか」「潜在的なサイバーセキュリティインシデントによるサプライチェーンに対するリスクは何か、そして、一日でも生産を失わないようにするためにどのような対策をしているか」
取締役会は強力な監督を可能にするはずだが、脆弱性を生み出している
筆者らが調査した多くの取締役会は、退職している人もそうでない人も、業務、財務、営業の分野や、その業界での豊富な経験を持つエグゼクティブで構成されている。
しかし、サイバーセキュリティの知識や経験を持つ取締役はほとんどいない。2022年、米証券取引委員会(SEC)は、公開企業に対するサイバーセキュリティのリスク管理、ガバナンス、開示について、より明確な勧告を提案した。そしてそれらは今後、必要条件となることが予想される。つまり、取締役会はサイバーセキュリティリスクを確実に監視し、サイバーセキュリティの専門性を取締役会に明確に含める必要があるのだ。
多くの元経営幹部は、現在のサイバーセキュリティ環境になる前にリーダーであったため、専門知識、あるいはその専門知識を得るためのアプローチを取締役会にもたらしていない可能性がある。そのような専門知識を持たずに取締役を務めることが不適切というわけではないが、取締役会は全体として、この専門知識を身につける必要がある。
取締役は、技術的な専門知識を取締役会にもたらすだけでなく、環境、財務構造、トレードオフ、ビジネスリスクのポートフォリオを理解する必要もある。サイバーセキュリティの専門知識とビジネス感覚を適切に併せ持つ、新しい取締役を見つけることは難しい。
サイバーセキュリティの専門知識を取締役会にもたらすためには、取締役会の構成を変更する必要があるかもしれない。取締役会のメンバーは、サイバーセキュリティから生じるリスクに関する頻繁な会話、トレーニング、開発プログラムを通じてサイバーセキュリティの専門知識を身につける必要がある。あるいは、現在の取締役会メンバーとは根本的に異なるビジネスや職業上の背景を持つ取締役を加えるべきかもしれない。
サイバーセキュリティが取締役会の優先事項であることを示せなければ、不要なメッセージを送ることになる
筆者らの調査によると、ほぼ4分の1の取締役会がサイバーセキュリティを優先事項としてとらえておらず、その多くがサイバーセキュリティについて定期的に議論すらしていないことがわかった。
サイバーセキュリティの最新情報についてのプレゼンを年に一度しかしていない取締役会もあり、その内容は通常、組織がいかに保護されているかに焦点が当てられている。これでは十分とはいえない。
サイバーセキュリティを取締役会の優先事項とすることは義務であり、年に一度アップデートするだけでは不十分だ。つまり、取締役会で毎回議論し、会議の合い間に最新情報を入手し、報告された内容以外の質問をし、個人的な関心を持つ(自分たちの環境をより安全にする、サイバーセキュリティに関する質問をしたりストーリーを共有したりする、取締役会が望む行動をする人をヒーローとして扱うなど)ということだ。
たとえば、取締役会で毎回、会社のレジリエンスやセキュリティを個人的に高めた模範的な「ヒーロー」を表彰したら、経営幹部にはどのようなメッセージが送られるだろうか。一方、取締役会が意図的であろうとなかろうと、サイバーセキュリティがいかに重要であるかを示す努力をしなければ、サイバーセキュリティが優先事項ではないと伝えることになる。
取締役の個人的な行動は、上級幹部に影響を与える。行動を起こし、時間を投じ、注意をそそいでサイバーセキュリティを個人的な優先事項とするこ
取締役会は、自分たちが新しいことをしなければならないことを知っている。SECの勧告はそれを体系化するものだ。
サイバーセキュリティの不備がもたらす結果を報じるニュースはますます増えている。サイバーセキュリティの問題に直面した経験を持つ取締役は、他のメンバーの注意を喚起しようとしている。また、取締役会のメンバーは、適切な質問をすることはできないが、監督したいと考えている。
取締役会は、組織のサイバーセキュリティに起因するリスクについて議論し、それらのリスクを管理するための計画を評価しなければならない。会社のレジリエンスを維持するための適切な会話があれば、サイバーセキュリティを適切に監視するための次のステップを踏むことができる。
"Boards Are Having the Wrong Conversations About Cybersecurity," HBR.org, May 02, 2023.
