ハッキングされたとき、取締役会に説明すべきことGartner Insights Pickup(38)

重大なサイバーセキュリティインシデントに見舞われた後で、取締役会から説明を求められた場合に備えるにはどうすればいいか。取締役会に伝えるべきこととは? 伝えるべきでないこととは?

» 2017年11月10日 05時00分 公開
[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 2015年12月23日、ウクライナの電力会社3社の管轄地域で発生し、多数の顧客に影響した計画外の停電は、サイバー攻撃が新たな段階に入ったことを示した。このインシデントは、サイバー攻撃が大規模な停電に至った初の事例として大いに注目された。

 「こうした大規模な攻撃の発生頻度は低いが、この事件は、悪質なサイバーセキュリティ攻撃がビジネス運営と顧客に深刻な打撃を与え得ることを示している」と、Gartnerのリサーチディレクターを務めるロブ・マクミラン氏は語る。

 「サイバーセキュリティや技術リスクについて取締役会に報告することが一般化しつつある。サイバー攻撃がビジネスに重大な影響を与えることがあるからだ。だが、大半の組織では、こうした報告はあまり適切に行われていない」(マクミラン氏)

 Gartnerは、2020年までに全ての大企業が、サイバーセキュリティや技術リスクについて少なくとも年1回、取締役会に報告を求められるようになると見ている。現在、こうした報告を求められている大企業の割合は40%にとどまる。

 「ほとんどの取締役会が、セキュリティやリスク管理の責任者に対し、セキュリティの状況についてプレゼンテーションを求めるようになる見通しだ。だが、それは突然、サイバーセキュリティの熱心な推進者になったからではなく、そうすることがフィデューシャリー・デューティー(信任を受けた者の義務)の一部だからだ」と、マクミラン氏は説明する。

 「取締役会は、サイバーセキュリティやリスクを理解していないかもしれない。だが、彼らはそれらがビジネスや顧客、利益に与える影響に関心がある」(マクミラン氏)

セキュリティとビジネスへの影響を関連付ける

 ほとんどの取締役会には技術に詳しいメンバーはあまりいないので、取締役が理解できるようにセキュリティと関連技術について担当の幹部が教えようとするのは、取締役にとっては生産的でも有益でもなさそうだ。

 取締役の関心事は以下の通りだ。

  1. 戦略(オペレーションではない)
  2. リスク監督(管理ではない)
  3. ビジネスの結果(技術の詳細ではない)
  4. 明確な責任

 サイバーセキュリティについては、取締役に分かる言葉でビジネスの意思決定および結果と関連付けて説明すべきだ。取締役には、何を知っている必要があり、何を知っている法的義務があるかを解説するとともに、重大なリスクへの管理を徹底する方法があることを伝えて安心させるとよい。

 「取締役がこうした義務を果たすのに手助けする必要があるが、危険を誇張してはならない。立場を損なう恐れがあるからだ」と、マクミラン氏はアドバイスする。

 「危険を誇張すると、取締役会の信頼を失ったり、敵を作ったりしてしまうだろう。これでは、効果的な問題解決につながらない」(同氏)

取締役会に伝えるべきではないこと

 取締役会は、社内に侵入する個々のマルウェアには関心がないだろう。誰かのマシンにウイルスが入り込んで6台のワークステーションに感染したとしても、ビジネスにあまり影響がなければ取締役は気にしない。だが、感染被害が深刻でビジネスの中断を迫られる恐れがある場合は、コアビジネスプロセスがどのようなものであれ、取締役に知らせる必要がある。

 また、「FUD」(Fear, Uncertainty and Doubt:恐怖、不安、疑念)を呼び起こす言葉は慎重に使うべきだ。取締役会は、現状における問題点や悲観的な見通しなど、否定的な内容に終始する報告を望まない。取締役は解決策が講じられている、あるいは講じられることを確認したいと考えている。また取締役は、組織がどのようにビジネス目標を達成しようとしているか、セキュリティ専門家がそれをどのように支援しているかに関心がある。否定的な内容と前向きな内容の微妙なバランスが求められることになる。メッセージを伝えるにはスキルが必要だ。

取締役会に伝えるべきこと

 インシデントが時々発生することは紛れもない事実だ。ほとんどの組織は必ずインシデントに見舞われるが、インシデントへの対応は管理できることを取締役会に安心させる必要がある。「インシデントを全て回避することはできないかもしれない。だが、どのように防ぐか、発生時にどのように対応するかは管理できる」とマクミラン氏は語る。

 セキュリティやリスクの専門家は、以下を実践することが重要だ。

  1. 取締役会レベルの意思決定に関連するビジネスの文脈で報告を行う。IT担当者やITの意思決定にのみ関連する問題は取り上げない。
  2. 事実に基づくアプローチを取り“犯人探し”はしない。現在の状況と問題解決に向けた行動計画に焦点を当てる。
  3. インシデントは、システムや従来のビジネスプロセスの問題を是正するチャンスになる可能性がある。ただし、これまでと同様に組織の保護ニーズとビジネスの運営ニーズのバランスを取り続ける。
  4. 報告の最後に質問を募り、取締役に報告プロセスへの関与を促す。

出典:Hacked? What to Tell the Board(Smarter with Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。