セキュリティ専門家が信頼を築くには
取締役会との信頼構築
最高情報セキュリティ責任者 (CISO) の多くは取締役会への報告を、欠くことはできないが気の進まないタスクとして扱ってきました。取締役会はコーポレート ガバナンス モデルの頂点に位置しているため、最新の情報を提供することがセキュリティ専門家の責務です。CISO が取締役会と関わる機会を、 Log4j 脆弱性などのセキュリティ インシデントについての報告―たとえば、法規制に基づく要求への回答や、同じ業界で発生した侵害に関する質疑応答に限定するべきではありません。
セキュリティ専門家は取締役会と定期的にコンタクトを取って最新情報の提供とレクチャーを行い相互信頼を築くべきです。最終的に、取締役会との連携は誰もが求める優れたセキュリティ体制の構築に貢献します。
4 番目の防衛線としての取締役会の役割
取締役会はセキュリティ リーダーが報告する別部門にすぎないと見なされることもありますが、実際もっと大きな役割を果たせます。
取締役会は企業セキュリティの 4 番目の防衛線と見なすことをおすすめします。1 番目の防衛線は、インシデントのトリアージを担当する現場の運用スタッフが管理している日々のセキュリティ運用とセキュリティ機能です。2 番目は「サイバー ガバナンス業務」と呼ばれ、3 番目は社内の監査・レポート業務。そして、4番目が取締役会です。4 つの防衛線が上手くコミュニケーションを取ってギャップをなくし、まとまったセキュリティ運用を実現することが非常に重要です。
先を見越して取締役会との信頼関係を築くには
セキュリティ パートナーかつ効果的な 4 番目の防衛線として取締役会を機能させるには、双方が信頼する必要があります。そしてセキュリティ専門家には、取締役会にとって何が重要かを次の 3 つの観点から解説することが求められるのです。
ブランド保護 : . 知的財産、企業秘密、評判の観点で、企業のブランドを確実に保護します。
収益 : . 企業の収益を維持するため、適切なセキュリティ制御を確実に導入します。
リスク管理 :サイバーセキュリティ脅威によって企業が受ける被害に大きく影響する取締役会へ報告される内容を理解します。
セキュリティ投資利益率(ROSI) の予測を報告
取締役会に報告する際は、皆が共通の理解を得られるようにすることが重要です。言うまでもなく、取締役会のメンバーはたいていサイバーセキュリティの専門家ではありません。そのためCISO はどの程度の専門用語を使うか迷います。時には、専門家ではない経営陣への伝え方が分からないというだけの理由で、確かな技術情報の共有に及び腰になることもあります。
また、技術的な要素を重視するあまり、取締役会にも理解できるビジネスの観点でリスク コミュニケーションを行うことに失敗しているCISO も珍しくありません。取締役会とのコミュニケーションのポイントは、絶えず議論の輪に参加させ、怖がらせることなく効果的なリスク コミュニケーションを行うことにあります。
パロアルトネットワークスの脅威インテリジェンス チーム「Unit 42」では、セキュリティの費用対効果の議論を促進する目的で、ROSI ( セキュリティ投資利益率 ) という用語を使用しています。ROSI に大きな影響を与える確かなセキュリティ投資が、保護対象の資産とその保護方法に関するリターンの面で重要となる理由を財政的に明示することが、CISO にとって非常に大切です。また、主観的ではなく客観的なセキュリティ成熟度が、企業にどのような利益をもたらすかを ROSI によって明示する必要があります。
取締役会とのリスクコミュニケーションのためのUnit 42 フレームワーク
取締役会に対する CISO の重大な責任の 1 つが、先を見越した有意義な形でリスク コミュニケーションを行うことです。パロアルトネットワークスの Unit 42 が開発した、取締役会とのリスク コミュニケーション用のフレームワークでは、以下の重要な手順と項目を網羅しています。
インベントリ収集: 把握していない資産は保護できません。IT 資産の適切なインベントリを確保しましょう。
重要資産の明確化 : 個別のデータ、アプリケーション、特定のインフラなど種類を問わず、最も重要な資産を探し出して明確化しましょう。ビジネスの心臓部となる重要資産を把握することは極めて重要です。
セキュリティ ツールの評価: 重要資産のセキュリティ対策を目的に導入したセキュリティ ツールを活用できているかを把握する必要があります。
インシデント レスポンス能力の評価 : インシデントによって企業の重要資産が被害を受けるのであれば、有効かつ効果的な手法でレスポンスする備えが必要です。
テストと検証 : ツールとインシデント レスポンス能力を把握しましょう。攻撃者が重要資産を実際に攻撃した場合に、これらの能力がどのように機能するかをテスト・検証することが欠かせません。
取締役会とのレジリエンス ブリーフィング : フレームワークの最終段階では、潜在的なリスクに対する企業のレジリエンスを取締役会と共有します。調査から判明した実用的かつ客観的な結果を取締役会に報告し、現実のビジネスとつながる形でコミュニケーションを取ることを目指しましょう。
事後的ではなく、事前的な指標を報告する
進捗を示す目的で、運用中のセキュリティ運用センター (SOC) の指標ばかりを報告する企業が少なくありません。たとえば、攻撃、アラート、クローズしたインシデントの数や、パッチ未適用の OS の数などです。しかし現実には、こうした指標ではサイバーリスクを十分に表現できません。明らかに、これらの指標は受動的な修復手段から得られる事後的な指標と見なすべきです。
CISO には、予防的なセキュリティ対策を促す事前的な指標を提示することをおすすめします。予防的・事前的な指標の好例としては、この 1 年で評価されたサードパーティやサプライ チェーンのリスク管理リソースの数が挙げられます。この指標を使用すると、リスクの高いサプライ チェーン リソースの数だけでなく、サードパーティのデューディリジェンスの評価について企業がどこまで取り組んでいるかを示すことが可能です。
CISO と取締役会のコミュニケーションを成功させるための助言
どのような取締役会であれ、適切な業務連携を実現するには段階が必要ですが、まずは関係構築が重要です。取締役会と親しくなり、ビジネス リスクに関して共感できる要素が何かを理解しましょう。企業資産とビジネスの必須要素に関する主要な利益を保護する方法について、取締役会とコミュニケーションをとるには、取締役会にとって重要な課題を知るしかありません。
また、取締役会とコミュニケーションを取る議題に対しては、データドリブン アプローチを採用します。単に事実を述べるため、自分が優位な立場になる状況でも主観性を排除できるのです。しかし、数字を説明するだけでは、効果的ではありません。必要なものはストーリーテリングです。取締役会のメンバーは起承転結の流れを把握したいのです。したがって、データを提示するだけでなく、その背後の話を実際に説明しましょう。
最後に基本的なことですが、取締役会はソリューションの 1 要素であり、4 番目の防衛線であることを忘れてはなりません。そのため、誰もがセキュリティの責任を負っていることを全部門のリーダーが理解する習慣を生み出すことが必要です。