サイバー攻撃は、この1年とどまるところを知りません。どの業界の組織も、 大規模なデータ侵害、ランサムウェア、 サプライチェーン攻撃の対策に取り組むなか、 取締役会レベルにおけるサイバーセキュリティに関する議論はますます重要になってきています。一方で、企業の上層部(ボードメンバー)は、自社におけるサイバーセキュリティ問題への備えが、前年よりも不十分であると感じています。
これは、世界中の幅広い業界のボードメンバーを対象としたプルーフポイント第2回年次レポート「Cybersecurity: The 2023 Board Perspective(取締役会におけるサイバーセキュリティの展望2023)」の調査結果のほんの一部です。
まずはじめに、この第2回年次レポートから、前向きな調査結果をお伝えします。12か国659名のボードメンバーを対象とした調査結果は、下記のとおりです。
- 73%は、自社の取締役会にとって、サイバーセキュリティは優先順位の上位にあると考えています。
- 72%は、自社の取締役会は、直面する脅威を把握していると感じています。
- 70%は、取締役会は、適切にリソースへの投資を行っていると考えています。
しかし、意識が向上し、投資が増加しているからといって、セキュリティ体制が改善しているとは限りません。ボードメンバーの73%は、今後1年間に、自社が大規模なサイバー攻撃を受けるリスクがあると考えており、これは2022年の65%から増加しています。53%が、自社における標的型攻撃対策が不十分だと回答しており、これは昨年の47%から増加しています。
この変化は、昨年の不安定な脅威状況を反映している可能性があります。生成AI(ジェネレーティブAI)など、新興技術についての懸念も、1つの要因です。 半数以上(59%)の回答者が、 ChatGPTなどの生成AIツールは、自社事業に対するセキュリティリスクだと考えています。
取締役会とCISOのコミュニケーション増により、意見の一致も増加
調査から得られたもう一つの収穫は、取締役会とCISOの関係に改善が見られることです。ある企業は、両者が以前より頻繁に対話するようになったと回答しています。53%のボードメンバーは、自社のセキュリティリーダーと定期的に交流していると回答しており、これは2022年の47%から増加しています。しかし、ここにはなお改善の余地があります。サイバーセキュリティの課題について、CISOと十分情報を得た上での議論ができるほど把握している、と回答した取締役会のボードメンバーは、3分の2(64%)に満たないことがわかりました。
また、取締役会とCISOは、交流を増やすと、意見の一致が増えることが明らかになりました。調査では、ボードメンバーの3分の2近く(65%)が、CISOと意見が一致していると回答しました。この調査結果は、プルーフポイントが5月に発表した「Voice of the CISO」(CISO意識調査レポート)の結果と一致しています。CISO意識調査レポートでは、調査対象のCISOの62%が、サイバーセキュリティの課題について、取締役会と意見が一致していると考えているのに対し、2022年は51%でした。
取締役会とCISOは、長い間ぎくしゃくしていた関係からようやく抜け出しつつあるのかもしれません。これは明らかに良い傾向です。今後数年間、自社の取り組みにおいて、サイバーセキュリティ対策を強化し戦略的に投資を行うためには、両者の協調を促進する必要があります。
取締役会の課題 サイバーセキュリティに関する知識拡大の継続
役員室に、ボードメンバーレベルのセキュリティリーダーがいてくれて心強く感じられるかとは思いますが、ボードメンバーはこれに自己満足してはなりません。CISOと同じ言語を話すところに近づけたのですから、取締役会は、自社のサイバーセキュリティ機能について、率直な評価を行い、セキュリティ対策における両者の認識のずれを減らすように行動する必要があります。
サイバーセキュリティの課題を前に進める上で、ボードメンバーの認識について頭を悩ます必要がなくなったのは、大きなプラスです。ただし、戦略上、この認識を行動につなげるには、今もなお課題が残されています。
先日SEC(米国証券取引委員会)が規則を発表する以前から、取締役会がサイバーセキュリティリスクに関する知識を深める必要があることは明らかでした。また、自社のリスク低減戦略が、現在の脅威状況だけではなく、将来にわたって、従業員とデータを適切に守ることができるようにしなければなりません。
