今日を知り、明日を変えるシステム運用メディア

ラスベガスから講演レポートなどお届け
取締役会のエンゲージメントがセキュリティ対策に必要な理由

組織一丸のリテラシー向上を。NCSCによるセキュリティガイダンスが公開

ニュース #世界の話題 #セキュリティ

英国立サイバーセキュリティセンター(NCSC、National Cyber Security Centre)※1は、企業の取締役会や役員層が、サイバーセキュリティをビジネスリスクの一部として認識するためのガイダンスを2024年10月に発表しました。

※1 National Cyber Security Centre:Engaging with Boards to improve the management of cyber security risk

このようなガイダンスが発表されたのは、サイバーセキュリティ対策は現場のシステム担当者の仕事の一部として軽視される傾向にあるためです。会社役員と組織のセキュリティ関係者の間には、どのような認識のズレが生まれるのか、どうすればサイバー攻撃の脅威を組織一丸となって認識できるのか、ガイダンスを参考に取り組み方を見直してみましょう。

取締役会のエンゲージメントがセキュリティ対策に必要な理由

取締役会のエンゲージメントがセキュリティ対策に必要な理由

NCSCのセキュリティガイダンスでまず語られているのが、ほとんどの取締役会メンバーは、サイバーセキュリティに関する深い知識を持っていない点です。漠然とした脅威として認識はしているものの、詳細な要点を把握できておらず、具体的な対策を進めるための意思決定が進まない問題を抱えています。

一方、サイバーセキュリティ担当者は、この分野に関する詳細な知識を持っているものの、取締役会や上級幹部とコミュニケーションを取る経験が少ないケースが見られるとされています。

つまり、セキュリティの専門家が直接上流の意思決定者に、対策の必要性を説明したり、具体的にどんな対策を進めれば良いかを解説する機会が極めて限られており、それゆえにセキュリティ投資が適切に行われていない問題を抱えているわけです。

NCSCは、サイバーセキュリティの専門家が自身の業務領域の一種として、このギャップを埋められるよう対策を講じるところから始めるべきであるとしています。十分な予算が与えられないと嘆くだけでなく、予算が与えられていない原因に着目し、コミュニケーション機会の創出を行うところから進めなければなりません。

セキュリティ関係者は「取締役会」をどう理解すべきか?

セキュリティ関係者は「取締役会」をどう理解すべきか?

企業のセキュリティ担当者にとって、サイバー攻撃への対策は極めて重要な課題であることは間違い無いでしょう。ただ、取締役会にとっては必ずしもそうとは限らないという、認識のギャップにも目を向ける必要があると、NCSCは解説しています。

現実問題としてサイバーセキュリティは、取締役会にとっては議題の一つでしかありません。この点を踏まえると、セキュリティ関係者がやるべきなのはまず、取締役会全体における議題、企業戦略と目標、そしてビジネスが直面する課題を理解することです。

取締役会とセキュリティ関係者のギャップを埋める上では、セキュリティに関わっている専門家の方から取締役会に近づくのが有効というのが、NCSCの見解です。

取締役会には「教育」ではなく「助言」を

取締役会には「教育」ではなく「助言」を

取締役会の面々のセキュリティに関するリテラシーの無さは、時にセキュリティ関係者を驚かせ、呆れさせてしまうことも多々あるかもしれません。NCSCによると、このような現状を変えていく上で重要なのは、取締役会に「教育」ではなく「助言」を与えるというアプローチをとることだとしています。

取締役会はセキュリティ対策に関する意思決定の大きな権限を握っていますが、彼らが直接体制構築を行うわけではありません。必要なのは、現場のセキュリティ担当者が柔軟に動くための意思決定を行うことであり、そのための判断に必要な材料をアドバイスすることが大切です。

具体的には、企業戦略とサイバーリスクの関係について理解を深めてもらい、どうすればサイバーリスクを効果的に低減できるのかを判断してもらえるようになることが求められます。必要な時にGoサインを出せるよう促すことが、セキュリティ関係者の新しい役割とも言えるでしょう。

シンプル、そして首尾一貫した説明で組織のリテラシー向上に貢献

シンプル、そして首尾一貫した説明で組織のリテラシー向上に貢献

セキュリティ関係者が取締役会とのコミュニケーションを深めていく中で、もう一つ重要なのがシンプルかつ首尾一貫した説明です。専門的な話は最小限にとどめ、ビジネスマインドに響く言葉で、ビジネス重視のアプローチを簡潔に伝えることが、取締役会の関心をひく上で求められます。

セキュリティの専門家がついやってしまうこととして、多すぎる選択肢を提案してしまい、役員の混乱を招いてしまうことです。セキュリティ対策には多くの施策が求められますが、その全てを一度にぶつけることは、判断を億劫にさせるリスクが伴います。

事前に専門家の間で優先的に取り組むべきテーマをまとめておき、適宜情報を取締役会に共有し、理解を促すことが、建設的に対策を進めていく上では重要なアプローチだとNCSCは説明しています。

現場と経営者のギャップを埋めるためにも英国式のガイダンスを参考に

今回紹介したNCSCのガイダンスは、取締役会のセキュリティリテラシーとセキュリティの専門家の認識の間にあるギャップに目をつけた、参考になる部分の多いドキュメントであると言えます。

セキュリティ投資や対策そのものに停滞感を覚えている場合、上述のガイダンスを参考にしながら、現状課題の整理とギャップを埋めていくための施策検討に目を向けることをおすすめします。

Ops Today編集部
このライターの記事をもっと読む

関連記事

システム構築の基礎と構築計画-基本的な内容の理解と構築計画の流れ
ノウハウ

システム構築の基礎と構築計画-基本的な内容の理解と構築計画の流れ

システム開発におけるセキュリティ要件の決め方具体例を通して解説
ノウハウ

システム開発におけるセキュリティ要件の決め方具体例を通して解説

AWSセキュリティグループで安全な環境を構築!設定方法や料金も解説
ノウハウ

AWSセキュリティグループで安全な環境を構築!設定方法や料金も解説

人気の記事

2024年8月発効 EU AI規制法への対応のために企業は何をするべきか?
ニュース

2024年8月発効 EU AI規制法への対応のために企業は何をするべきか?

飲食業界におけるサイバーセキュリティの現状は?大手コーヒーショップの情報漏洩を受けて
ニュース

飲食業界におけるサイバーセキュリティの現状は?大手コーヒーショップの情報漏洩を受けて

定期的なパスワード変更は時代遅れ?進むガイドライン改正
ニュース

定期的なパスワード変更は時代遅れ?進むガイドライン改正

最新情報をお届けします!

最新のITトレンドやセキュリティ対策の情報を、メルマガでいち早く受け取りませんか?ぜひご登録ください

メルマガ登録
TOP - ニュース - 組織一丸のリテラシー向上を。NCSCによるセキュリティガイダンスが公開