取締役会で必ず出るセキュリティや技術リスクの質問に、どう答えるか：Gartner Insights Pickup（151）

　「そうした質問は誇張されていたり不完全だったり、矛盾していたりする一般的な通念に基づいており、より重要な問題から注意をそらしてしまう」（オーヤイー氏）

　Gartnerは、2020年に大企業で100％、取締役会が少なくとも年1回、サイバーセキュリティと技術リスクについての報告を求めるようになると見ている。取締役会のセキュリティリスクに関する知識は高まっており、サイバーリスクについてほとんど、または全く知らない取締役の割合は、2015年の22％から2019年には15％に低下している。

　また、取締役会はサイバーセキュリティへの注目度の上昇も踏まえて、ビジネスの意思決定をするようになっている。Gartnerが2019年に行ったセキュリティとリスク管理のリーダーに対する調査では、回答者の5人に4人が「取締役会レベルの意思決定にリスクが影響している」と答えている。

　セキュリティリーダーは取締役会に、取締役会が注意を払っていること、取締役会にとって重要なことについて報告できなければならない。個々人の熱中や関心事を超えて、取締役会は全体として一般的に3つのことに注意を払う。

• 売上高／ミッション：営業利益または営業外収益、数字以外のミッション目標
• コスト：将来のコスト回避、営業費用の即時削減
• リスク：財務、市場、規制コンプライアンスおよびセキュリティ、イノベーション、ブランド、評判

　「取締役は、セキュリティやリスク管理がいかに重要かを理解するにつれて、それらのリーダーにより複雑で微妙な質問をするようになっている。現在、取締役会はセキュリティやリスク管理についての知識を深め、自社におけるそれらのプログラムの効果をチェックする準備が整いつつある」（オーヤイー氏）

　取締役会からのほとんどの質問は、5つのタイプに大別される。

理想と現実のバランスに関わる質問

例：「われわれは100％安全か」「確実か」

なぜこうした質問が出るのか：こうした質問は、セキュリティとそのビジネスへの影響を本当には理解していない取締役がする場合が多い。100％の安全や保護は不可能だ。CISO（最高情報セキュリティ責任者）の役割は、リスクの高い領域を特定し、企業のリスク許容度に基づいて、有限のリソースをそれらの管理に配分することだ。

答え方：次のように切り出す。「脅威が絶えず進化している状況を考えると、情報リスクの原因を全て除去できません。私の役割は、リスク管理の統制を実現することです。ビジネスの成長とともに、私たちは、どの程度のリスクを許容できるかを継続的に再評価する必要があります。目標は、保護ニーズとビジネスニーズのバランスを取り、持続可能なプログラムを構築することです」

状況に関する質問

例：「どのくらいひどい状況なのか」「X社で起こったことについてはどうか」「われわれは他社と比べてどうか」

なぜこうした質問が出るのか：取締役は、脅威に関する報告書や記事、ブログを目にし、リスクの理解を求める規制圧力に直面する。そして他社、とりわけ同業他社が何をしているかが常に気になる。様子を見て、自社が他社と比べてどうなのかを知ろうとする。

答え方：次のように述べ、他社のセキュリティ問題の根本原因を推測しないようにする。「X社のインシデントについては、もっと情報が得られるまで考えたくありません。ですが、もっと分かったら喜んでお知らせします」。類似の弱点やその修正方法の発見、あるいは事業継続計画（BCP）の更新といった一連の幅広いセキュリティ対応について話すことも検討する。

リスクに関する質問

例：「われわれのリスクはどのようなものか分かっているのか」「不安材料は何か」

なぜこうした質問が出るのか：取締役会は、リスクを受け入れることが選択肢の1つであることを認識している（認識していない場合、それはセキュリティやリスク管理のリーダーが解決すべき問題だ）。そして、自社のリスクへの対応がなされていることを望んでいる。CISOがリスク管理に関する意思決定の正当性を示すには、自社のリスク許容度について説明する準備が必要になる。

答え方：リスク管理の意思決定がビジネスに与える影響を説明し、自らの立場を裏付ける証拠を確保する。この後者が極めて重要になる。取締役会は、リスク許容度に基づいて意思決定をしているからだ。許容度を超えるリスクは、許容範囲内に抑えなければならない。ただし、そのために短期間に大幅な変更を行う必要があるとは限らない。過剰反応は慎むべきだ。取締役会が求めているのは、重要なリスクが適切に管理されているという保証だ。場合によっては、きめ細かい長期的なアプローチが適切かもしれない。

パフォーマンスに関する質問

例：「われわれはリソースを適切に配分しているか」「われわれの費用は十分か」「なぜこんなに費用がかかるのか」

なぜこうした質問が出るのか：取締役会は、セキュリティとリスク管理のリーダーが無為無策ではないという安心感を得たい。それを指標やROI（投資対効果）で確認したいと考えている。

答え方：バランストスコアカードのアプローチを取り、ビジネス目標を最上位のレイヤーに設定し、目標に対する自チームの業績はシンプルな交通信号のメカニズムにより、青（合格）、赤（不合格）で表すようにする。目標は、できるだけ技術ではなく、ビジネス業績の観点から定める。業績は、一連の客観的基準で評価される各種のセキュリティ対策に基づいて決まる。

インシデントに関する質問

例：「どうしてこんなことが起こったのか」「私としては、君がこれを管理していると思っていた」「何が問題だったのか」

なぜこうした質問が出るのか：こうした質問が出るのは、インシデントや特殊な事象が発生し、取締役会が既に知っているときか、CISOが取締役会に知らせているときだ。

答え方：インシデントの発生は避けられないため、事実と向き合う必要がある。何が分かっているかに加え、現在は分かっていないことを解明するために何をしているかも伝えるようにする。つまり、インシデントを認め、ビジネスへの影響の詳細を知らせ、解決する必要がある弱点やギャップを説明し、それらの緩和計画を提示する。取締役会においては、1つのオプションを究極の選択肢として推奨しないよう注意すべきだ。セキュリティとリスクの管理責任はセキュリティリーダーが負っていくが、説明責任は常に、取締役会／執行役員レベルで定義されなければならない。

出典：5 Security Questions Your Board Will Inevitably Ask（Smarter with Gartner）