全米取締役協会(NACD)によると、取締役たちはサイバーセキュリティの問題対策が不十分だと感じています。ここで問題なのは、日々取り組んでいる他のリスクとサイバーセキュリティのリスクは別物だと、取締役たち自身が信じ込んでいることです。この認識は間違っています。受容、回避、軽減、移転など、適用するリスク戦略は同じです。取締役は、技術分野の経営幹部に対して、技術的なリスクをビジネスリスクへ転換するように求めければなりません。それがいま必要な変革です。ただし技術分野の経営幹部はリスク転換に不慣れなので、取締役はこの理解を手助けする必要があります。その次に取締役はリスク戦略に伴う技術的問題の概要を学び、理解しなければなりません。ネットワークセキュリティの実務者たちが推奨する、セキュリティのあらゆる側面に関する本を集めたCybersecurity Canonプロジェクトから学習を始めてください。手始めに読むべき本は、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

はじめに

全米取締役協会(NACD)が最近実施した調査によれば、取締役のうち「サイバーセキュリティリスクの微妙なニュアンスを把握しており、十分な情報に基づいて意思決定を行える」と自信を持って回答できたのはわずか19%に過ぎませんでした。また同協会の調査で「サイバーセキュリティリスクの監視が不十分」と感じている取締役の割合は59%にのぼっています[1]。今日、ほとんどの企業が事業をデジタル化していることを考えれば、これは衝撃的な数字です。世界中が急速にデジタル化を進め、自社の効率性とイノベーションを促進するなか、デジタル化していない企業を見つける方が難しいことでしょう。

現状に至った要因

こうした事態を招いた責任の多くは、CIO、CSO、CISOなど、ネットワークセキュリティ実務者のコミュニティにあります。1990年代中頃に最初のCISOが採用されてから今日に至るまで[2]、こうしたコミュニティは、サイバーセキュリティに伴うリスク、つまりサイバーリスクは、取締役たちが日々取り組んでいる他のさまざまなリスクとは別物だと主張してきました。つまり、サイバーリスクは主としてコンピュータやインターネット、ハッカーに関連したものであって特別な扱いを必要とするリスク カテゴリに属するものだという主張です。しかしながらこの認識は正しくありません。

サイバー リスクは特殊なリスクではない

労働災害、財務損失、事業継続性、法的責任、サイバーセキュリティ侵害など、どんな形を取ったとしてもリスクはリスクです。取締役がサイバーリスクに対応する方法は、他のすべてのリスクへの対応方法と同じで、潜在的に重大なビジネス リスクを軽減または排除する方法を見つけるということです。サイバー リスクへの対応にあたっても、受容、回避、軽減、移転など基本的なリスク管理戦略はそのまま使えます[3]が、そこでどのような技術的軽減戦略を選択しうるかについて、取締役はまだ経験が浅いというだけのことです。そこで技術分野の経営幹部の登場です。CIOやCSO、CISOは技術的詳細を理解していますから、潜在的なビジネス リスクについてはこうした経営幹部に説明を求めればよいのです。

とはいえ、技術分野の経営幹部にとってこの説明はやさしい仕事ではありません。技術的詳細は把握していても、技術的リスクのビジネス リスクへの転換は容易でないことが多いからです。そこでビジネス リスク戦略を知悉した取締役が、技術分野の経営幹部がそうしたリスク戦略を理解するための手ほどきをし、さらに「自社の脅威となる潜在的かつ実際的な影響リスク」と「ハッカーが仕掛けうる『怖い』リスク」を区別するための手ほどきもしなければなりません。ことハッカーに関しては、警戒心を抱かせるシナリオをいくらでも作ることができますから、その中から「発生すれば企業に大打撃を与え、かつ近い将来発生する可能性が高いシナリオ」を技術分野の経営幹部が選り分けられるよう、取締役は手助けをしなくてはなりません。なぜなら技術分野の経営幹部は、こうした方面の経験が浅いことが多いからです。ここまでできれば、あとは取締役が技術分野の経営幹部の推奨する技術的ソリューションの概要を理解するだけです。

取締役への課題

新たな知識領域について学ぶときに欠かせないのが文献の調査ですが、幸い取締役には頼れるコミュニティ プロジェクト「Cybersecurity Canonプロジェクト」があります[4]。ぜひこのコミュニティを活用してください。このコミュニティは、いわばサイバーセキュリティ書籍版の「ロックの殿堂」のようなもので、単なる書籍リストではありません。この書籍リストに名を連ねるには、いずれかのネットワークセキュリティ実務者が対象書籍について書評を書いた上、ネットワークセキュリティ実務者全員がその本を読むべき根拠を示さなければなりません。さまざまなネットワークセキュリティ専門家で構成される委員会があり、そのメンバーが提出された本をすべて読了し、候補リストに加える本を決定し、最終的にCybersecurity Canonに追加する本を選出しています。取締役向けの推奨図書として、現在候補リストにある2冊の本とすでに殿堂入りしている1冊の本をご紹介しましょう。

『Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers (マネジメントのためのサイバーセキュリティ 米国版)』(パロアルトネットワークス/ニューヨーク証券取引所、共著)

『Navigating the Digital Age(マネジメントのためのサイバーセキュリティ 米国版)』は、会社取締役や執行役員にサイバーセキュリティについて啓蒙し、情報を伝えることを目的とした最初の総合的な解説書です。取り上げている題材には一部重複する部分もありますが、寄稿者は30名を超え、内容も充実しており、密度の高い情報が集約されています。具体的には、取締役がその職務を果たすときの基本原則、参照すべき取締役会の規範、活用すべき経営幹部(CISO)、取り組みを支援するために新設すべき委員会、受託者責任と訴訟の可能性に関する懸念事項、サイバーセキュリティに関する株主と取締役の認識ギャップ、侵害情報の開示についてどう考えるべきかなどの情報が収録されています[5]。パロアルトネットワークスとニューヨーク証券取引所の共著として発行されたこの指南書は無料でダウンロードできます。本書の発行後、フランス、オーストラリア、日本、シンガポール、イギリスでも姉妹書が発行され、ドイツとオランダでも今年中の発行が予定されています [6]。

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』(Douglas W. Hubbard、Richard Seiersen、共著)

『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』は、リスク評価担当者の必読書です。この本は従来の定量分析手法に基づいて書かれており、基本情報と実例がバランスよく記載されています。定量化できるデータ、標準化されたデータ、または過去の数理計算上の表形式データの不足という同様の課題を抱える他の業界が、従来型の統計モデリング/手法を使用した反復可能な正規の方法でリスクを測定できる理由について、本書の著者は説得力のある主張を展開しています [7]。

『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIR(Factor Analysis of Information Risk)フレームワーク[AK1] を使ったアプローチ)』(Jack Freund、Jack Jones、共著)

『Measuring and Managing Information Risk (情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』は、リスクの実態について説明するだけでなく、リスクの定量的な測定方法についても説明しています。本書を活用するとセキュリティポリシー実務者が自身の問題への理解度を経営陣に示すことができるようになります。この解説書には、企業のリスク管理形態に合わせ、財務の観点から成果を上げる方法が提示されており、リスク管理プログラムをゼロから作り上げる組織と既存のプログラムを強化する組織の両方が対象とされています。また本書はリスク理論、リスク計算、シナリオ モデリング、組織内のリスク伝達などの主要分野を網羅しています[8]。

おわりに

取締役が日常業務で取り組む他のすべてのリスクとサイバー リスクの間に違いはありません。インターネットが登場して間もない頃は、これとは逆の認識を技術者から植え付けられていたかもしれません。しかし今は、他のすべてのビジネス リスク同様、サイバーリスクも、受容、回避、軽減、移転という従来のリスク戦略を使えることを学びつつあります。技術分野の経営幹部の多くは、技術的リスクからビジネス リスクへの転換するための手助けを必要としていますし、取締役はその助けとなることができます。その上で、「深刻な影響を与え、発生する可能性の高いリスク」と「『怖い』リスク」を技術分野の経営幹部に区別して提示してもらえるように手ほどきしましょう。さらに、問題の概要を把握できるよう、取締役はCybersecurity Canonプロジェクトを参照し、ネットワークセキュリティ担当者のコミュニティが推奨する文献に目を通してください。それには次の3冊から始めるのがよいでしょう。つまり、『Navigating the Digital Age (マネジメントのためのサイバーセキュリティ 米国版)』、『How to Measure Anything in Cybersecurity Risk (サイバーセキュリティリスクの測定方法)』、『Measuring and Managing Information Risk: A FAIR Approach(情報リスクの測定と管理: FAIRフレームワークを使ったアプローチ)』の 3 冊です。

出典

• [1] “In Cyber, Who Do We Trust to Protect the Business?” Peter Gleason, http://www.darkreading.com/risk/in-cyber-who-do-we-trust-to-protect-the-business-/a/d-id/1328245
• [2] “Evolution of the CISO and the Confluence of IT Security 7 Audit,” Thomas Borton, ISACA (2014年3月13日), https://goo.gl/ocM6RL (最終アクセス日: 2017年4月15日)
• [3] “4 Ways to Handle Risk (Only One is Bad),” Ken Stasiak, SecureState Blog (2015年7月7日), https://www.securestate.com/blog/2015/07/07/4-ways-to-handle-risk-(only-one-is-bad) (最終アクセス日: 2017年4月16日)
• [4] “The Cybersecurity Canon: Books Every Cybersecurity Professional Should Read,” Palo Alto Networks, https://www.paloaltonetworks.com/threat-research/cybercanon.html (最終アクセス日: 2017年4月18日)
• [5] “Book Review: Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers,” Rick Howard, Palo Alto Networks CSO (2016年1月), http://researchcenter.paloaltonetworks.com/2016/01/the-cybersecurity-canon-navigating-the-digital-age-the-definitive-cybersecurity-guide-for-directors-and-officers/ (最終アクセス日: 2017年4月16日)
• [6] “Navigating the Digital Age Download,” Security Roundtable, https://www.securityroundtable.org/wp-content/uploads/2015/09/Cybersecurity-9780996498203-no_marks.pdf (最終アクセス日: 2017年4月17日)
• [7] “How to Measure Anything in Cybersecurity Risk,” Douglas W. Hubbard, Richard Seiersen, Wiley (2016年4月25日), https://www.goodreads.com/book/show/26518108-how-to-measure-anything-in-cybersecurity-risk?ac=1&from_search=true (最終アクセス日: 2017年4月16日)
• [8] “Measuring and Managing Information Risk: A FAIR Approach,” Jack Freund, Jack Jones, Butterworth-Heinemann (2014年1月1日), https://www.goodreads.com/book/show/22637927-measuring-and-managing-information-risk?ac=1&from_search=true (最終アクセス日: 2017年4月16日)

書評

• “Book review: Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers,” Rick Howard, Palo Alto Networks CSO (2016年1月), http://researchcenter.paloaltonetworks.com/2016/01/the-cybersecurity-canon-navigating-the-digital-age-the-definitive-cybersecurity-guide-for-directors-and-officers/ (最終アクセス日: 2017年4月16日)
• “Book review: How to Measure Anything in Cybersecurity Risk,” Steve Winterfeld, Cybersecurity Canon Committee Member (2016年12月2日), http://researchcenter.paloaltonetworks.com/2016/12/cybersecurity-canon-measure-anything-cybersecurity-risk/ (最終アクセス日: 2017年4月16日)
• “Book Review: Measuring and Managing Information Risk: A FAIR Approach,” Ben Rothke, Cybersecurity Canon Committee Member (2015年9月10日), http://researchcenter.paloaltonetworks.com/2015/09/the-cybersecurity-canon-measuring-and-managing-information-risk-a-fair-approach/ (最終アクセス日: 2017年4月16日)

参考資料

• “The 6 Fundamental Techniques of Risk Control,” POMS & Associates (2014年4月21日), http://www.pomsassoc.com/6-fundamental-techniques-risk-control/ (最終アクセス日: 2017年4月16日)
• “The Library,” The Security Roundtable (2015年9月16日), https://www.securityroundtable.org/library/ (最終アクセス日: 2017年4月16日)