米Palo Alto Networksでは、14ジャンルにおける2016年のセキュリティ予測をブログにて公開しています。本内容はその中のブログポストの一つをもとにしています

2015年も様々な企業や組織で、大規模な情報漏えいの被害が発生しました。それを受けて、企業や組織の責任者たちも、ようやくサイバー攻撃の脅威を認識し、セキュリティへの人材、プロセス、およびテクノロジーへの適切な投資を模索しつつあります。2016年には、さまざまな面でその影響が表れるでしょう。

コンピュータと情報に対するセキュリティに積極的に取り組む取締役会が増加

大規模なデータ侵害により、機密知的財産、クレジットカード番号、個人の医療カルテなどの重要情報の漏えいを報じられるのを防ぎたい企業や組織にとって、ここ数年は厳しい年となりました。その結果、企業の役員や取締役会は、サイバーセキュリティが企業にとって重大であることを認識し、組織の資産を守るという義務を果たすためリスクマネジメントに取り組みはじめています。

サイバーセキュリティに対する企業の役員や取締役会の見方が2015年に明らかに変化しました。実際、ジョージア工科大学とパロアルトネットワークスの2015年のサイバーセキュリティ管理レポートにでは、2012年の調査からほぼ倍増となる63%の取締役会が、コンピュータと情報に対するセキュリティを積極的に管理しているという結果が出ました。

2016年もほとんどの業種で、コンピュータと情報とのかかわり合いが深まるため、取締役会でサイバーセキュリティについて、積極的に管理する傾向が強まり続けるでしょう。とりわけ、物理インフラストラクチャへの脅威が急速に高まっているため、当社は工業とエネルギー/公益事業の取締役会が金融サービスやIT/通信業界と同じレベルまで管理を引き上げると予想しています。

役員と取締役会は認識する段階から責任を持って行動する段階に移る

サイバーセキュリティが役員と取締役会レベルの問題として定着するにつれ、啓蒙活動よりも企業の自衛強化に役立つ、実用的なビジネスレベルのサイバーセキュリティの議論に重点が置かれるようになります。2016年には、役員と取締役会はこのことを理解するようになり、結果として「何を行うべきか」についてのアドバイスを必要とすることでしょう。

上述の調査では、取締役会の3分の2はサイバーセキュリティに積極的に取り組んでいますが、ニューヨーク証券取引所とVeracode社が実施した2015年の調査によれば、自社がサイバー攻撃から適切に保護されていることにわずかでも自信を持っている取締役会は、3分の1に過ぎませんでした。その調査から、大規模な事件の責任は取締役会がCEOと全経営陣に負わせるケースがほとんどであることも分かりました。

経営陣がサイバーセキュリティのリスクマネジメントに責任を持つことが明確になってきた2016年には、サイバーセキュリティに関連した意思決定をするための実務的なフレームワークにますます関心が寄せられると考えられます。技術的なセキュリティモデルは数多くありますが、役員と取締役会には、サイバーセキュリティの生産性とリスクを天秤にかけたときに正しく判断するためのモデルがありません。さらに、サイバーセキュリティには意思決定に役立つ安定し正確な分析ツールがありません。パロアルトネットワークスではこのジレンマを解消するための取り組みを進行しています

また、スイスのダボスでの世界経済フォーラム 年次総会で発表された「cyber value-at-risk」フレームワークのような動きがますます注目を集めると思われます。このフレームワークは、既存の脆弱性、資産価値、および攻撃者のプロファイルの情報を収集し、一定期間に起こったサイバーセキュリティ事件に関連する潜在的な損失を、高信頼度でモデル化しようとするものです。

その他、2014年にTarget社が大規模な情報漏えい事件を起こしたことを受けて、取締役会メンバー10名のうち7名の再選に反対する勧告を行ったInstitutional Shareholder Services (ISS) の画期的な動きがありました。これまでにセキュリティ事件が起きた会社では、2016年の株主議決権行使時期に株主によるサイバーセキュリティに関連した行動が増加すると考えられます。

サイバーセキュリティの管理と、上司・部下の関係の再構成

最後に、2016年にはCEOに直属するCISO(最高情報セキュリティ責任者)が増加し、その他の上級役員と同等の地位に置かれるという大きな変化が考えられます。部下に委譲できない責任であるビジネスリスクの責任は最終的にCEOが負います。会社はサイバーセキュリティに対するリスクマネジメントのアプローチに向かい続けるため、CISOとCIOは対等の立場で意思決定に役立つ、健全かつバランスの取れた生産性とリスクの議論をしなければなりません。時間を要しますが、2016年にはCISOが持つ上司・部下の関係を大きく変えると考えます。