本文の内容は、2024年9月10日にSuresh Vasudevan が投稿したブログ(https://sysdig.com/blog/three-key-questions-for-the-ciso-to-answer/)を元に日本語に翻訳・再構成した内容となっております。
CISO と取締役会の間には難しい関係が存在します。どちらの利害関係者もリスク管理に重点を置いていますが、リスクに対するアプローチと使用する言葉は大きく異なります。NIS2 指令やSECサイバーセキュリティ開示規則などの規制により、CISO の立場は大きくなっていますが、法的要件とそれらを満たすための運用上の優先順位付けにより、2 つの役割の視点と理解の違いが明らかになっています。リスクに関する会話から生じる混乱と誤解は、組織のセキュリティ ガバナンスとサイバーセキュリティ プログラムの有効性を損ないます。したがって、CISO と取締役会の対話を改善することは、セキュリティの向上に不可欠です。
リスクの異なる定義
CISO は、サイバー リスク管理、リスク軽減を優先するという日々のプレッシャー、組織のビジネス価値を支えるデジタル資産の保護に重点を置いています。CISO は、すべての資産を平等に、または同じ方法で保護できるわけではないこと、組織がある程度サイバー リスクを許容する必要があることを理解しています。ただし、これらの決定には、企業戦略や取り組みなどの組織のコンテキストが必要ですが、一部の CISO、特にいわゆる C-Suite の一員ではない CISO は、必ずしもそのコンテキストに精通しているわけではありません。
さらに、取締役会にはエンジニアリングやセキュリティのバックグラウンドを持つ取締役とは異なる独自の言語があり、それが格差をさらに広げています。取締役会は、サイバーセキュリティをはるかに超えた企業統治、企業リスク管理、ビジネス戦略と取り組み、投資決定などについて語ります。
セキュリティリーダーにとって、取締役会やその他の組織の利害関係者に提示する内容には、適切な言葉と文脈が含まれていることが不可欠です。結局のところ、理解や理解の欠如は、効果的なセキュリティガバナンスとサイバーセキュリティ プログラムの品質を損ないます。セキュリティリーダーは、本質的に、リスクについて取締役会に効果的に伝える方法を学ぶ必要があります。
経営陣は、組織が何を重視し、どこに向かっているのか、取締役会の意見ではどのリスクを効果的に軽減する必要があるのか、あるいは許容できるのかといった背景情報を CISO に伝える必要もあります。その背景情報があれば、CISO はサイバーリスクが企業戦略に影響を与えるかどうか、またリスクが財務面と運用面の両方で効果的に管理されているかどうかをより適切に伝えることができます。
共通言語の確立
CISO と取締役のコミュニケーションの質は、効果的なリスク管理を阻害するか、より回復力のある組織を促進するかのどちらかになります。コミュニケーションが最適でない場合、その根本原因は通常、取締役会が尋ねる質問と CISO が提供する回答にあります。質問は私たちの理解と学習方法を形成します。良い質問は相互理解を促します。
しかし、CISO は、取締役会がプレゼンテーションで何を望んでいるかを推測して解釈しようとすることが多すぎます。さらに、CISO のプレゼンテーションは、取締役会に提出される前に他の上級管理職によって編集されることが多く、必然的に内容が変更されます。いずれにせよ、この曖昧さと仲介は誰の役にも立ちません。
セキュリティリーダーは、デジタルおよびサイバーリスクを、自社のリスク管理に適合した具体的な事例に置き換える必要があります。
具体的には、CISO から取締役会への効果的なコミュニケーションでは、許容されている、または意図されていないサイバーリスクが組織の業務、評判、財務、規制および契約上の義務にどのような影響を与える可能性があるかを示す必要があります。CISO は、組織のサイバー セキュリティプログラムの状況と、これらのリスクがライフサイクル全体を通じてどのように軽減および管理されているかを明確に説明できる必要があります。取締役も、CISO に投げかける質問によって組織のリスク プロファイルをより明確に理解できるようにする必要があります。リスク管理は、これらの議論の中心に据えられ、相互に理解される必要があります。
セキュリティにおける成功のための KRI の設定
以下のリストは取締役会が要求したり知る必要のある内容よりも詳細ですが、CISO は、組織のデジタル資産クラスにまたがるカバレッジ、運用リスクの削減、人的要因に関する主要リスク指標 (KRI) を備えたデータ駆動型セキュリティ プログラムの構築に重点を置く必要があります。たとえば、次のようなものがあります。
- クラウドサービス
- アプリケーション
- データ
- ユーザー
- ネットワーク
- デバイス
- ベンダーとサプライヤー
組織のデジタル資産に関する事前に決定され、明確に定義された KRI は、相互に合意され、理解される必要があります。これらは、取締役会に定期的に提示され、議論される指標の基礎となります。
定義されていない質問は疑わしい答えにつながる
良くも悪くも (悪い方ですが)、CISO やセキュリティリーダーは、頭字語やドメインのニュアンスが満載の専門用語を使います。技術系ではないディレクターが CISO のプレゼンテーションを解釈すると、組織のサイバー リスク耐性に関して曖昧さや重大な誤解が生じる可能性があります。
役員からの「当社は安全ですか?」などの質問は的外れです。完全に安全な組織は存在しないため、リスク許容度について話し合い、理解する必要があります。同様に、「当社は同業他社と比べてどうですか?」という質問は、組織の固有の状況を無視しています。同業他社や競合他社は、技術環境やツール スタックが大きく異なる場合があります。ある企業は技術的負債が山積しているかもしれませんが、別の企業は完全に最適化され、クラウド ネイティブである可能性があります。リスクプロファイルはまったく異なりますが、どちらも同じセクターで事業を行っています。
組織のサイバーセキュリティガバナンスを改善するには、これらの質問に答えてください
初めての取締役会に参加する場合でも、経験豊富なベテランの場合でも、特定の聴衆に適したコンテキストと必要な詳細を盛り込んだプレゼンテーションを行うことが重要です。
こうした会話を準備する際、私はまず取締役会が知る必要のある情報を収集し、次に取締役会が知りたいと思うであろう事柄について仮説を立てます。次に、収集した情報に基づいて、自分が尋ねられそうな質問を考えます。最後に、そこから逆算して、自分のプレゼンテーションが取締役会の受託者責任と、組織のリスク管理および戦略に関する優先事項と一致するようにします。
セキュリティを重視する CEO として、何十年にもわたり、重要な立場にある役員として、また取締役会の顧問として取締役会に出席してきた私としては、明示的に尋ねられるかどうかにかかわらず、CISO が答えられるように準備しておくべき重要な質問が 3 つあります。
1. 経営陣や他の主要なステークホルダーの意見を欠いたまま、またはそれらと無関係に受け入れられている重大なサイバーリスクは存在しますか?もしそうであれば、その受け入れは、財務的、運用的、あるいは必要な人員のリソース不足に基づいたものでしたか?
取締役会は、組織内でどのようにサイバーリスク管理が行われているかを理解する必要があります。リスクの処理や許容に関する決定が孤立して行われることは、ほとんど適切ではありません。リスク処理に関連する不一致、特に残余リスクの許容に関するものは、多くのセキュリティ侵害の根本原因となっています。CISOとしてのあなたの目標は、サイバーセキュリティプログラムで管理されているサイバーリスクのポートフォリオの状況を正確に伝え、そのリスク状況を組織戦略に合わせることです。これにより、既知のリスクに対するリスク処理が組織の優先事項を反映するようになります。
また、取締役会が組織にとってどのレベルのリスクが許容されるかを判断する際に支援を求めるべきです。取締役会と経営陣も、どのレベルのリスクを許容できると考えるかを明確に伝える責任があります。推測で進めるのは適切ではありません。リスク処理を偶然や委任に任せてはいけません。ここでは、期待に関するコミュニケーションが重要です。
2.組織が直面するリスク要因に重大な変化はありましたか?あった場合、これらの要因によるリスクは増加していますか、それとも減少していますか? これは外部要因、内部要因、またはその両方によるものですか? 組織はこれらの変化に対応する準備ができていますか?
取締役会は、外部の脅威の状況、変化するテクノロジー ( AI、マイクロサービスなど) の影響、組織のセキュリティ管理の状況の両方について理解している必要があります。取締役会と経営幹部は、業界固有の脅威だけでなく、組織のテクノロジー ポートフォリオを標的とする可能性のあるリスクについても認識しておくことが重要です。同様に、取締役会は、現在のセキュリティ管理が、望ましいリスク許容度までリスクを軽減するのに効果的であるかどうかを把握する必要があります。
たとえば、新しいクラウドベースの攻撃で見られるように、オンプレミス攻撃とクラウド攻撃に見られるリスク要因には大きな変化があります。従来の制御では、クラウドなどの新しい運用モデルに対処するのに十分ではない可能性があります。Sysdig の脅威調査チームは、クラウド攻撃がわずか数分で発生する可能性があることを証明しました。クラウドの速度には、クラウドネイティブ攻撃を軽減するための最新のアプローチが必要です。役員は555 ベンチマークを読んでいないかもしれませんが、組織がクラウドの速度でクラウドの脅威に対処する準備ができているかどうかを知る必要があります。
この質問の後半は、CFO が主要な財務指標で傾向を報告するのと同様に、セキュリティプログラムの全体的な方向性に焦点を当てています。財務指標と同様に、セキュリティコントロールの状態は四半期ごとに一貫して報告する必要があります。つまり、組織のセキュリティプログラムは時間の経過とともに成熟し、既存のリスクと新しいテクノロジの使用によるリスクを軽減する上でより効果的になっているでしょうか。
3.組織が不意を突かれる可能性のある具体的なリスク要因と依存関係は何ですか?これらの要因を最小限に抑えることが、リスク管理ポートフォリオ内の他のリスクよりも難しい理由はあるのでしょうか?
常に前向きに考える必要があります。組織のリスク管理プログラムでは十分に検証されていない可能性のある新しい形態のリスクについて、広い視野で考えましょう。
ここで、セキュリティに関心のある取締役は、より広範な「私たちは安全ですか?」という質問ではなく、自由形式の質問をする可能性が高いでしょう。あなたの答えは、組織の回復力に関する共同の議論を生むはずです。誰もが、合理的に予測できたリスクに突然襲われることを望んでいませんし、リスクを無視することは決して選択肢ではありません。議論と協力に基づいてリスクを優先順位付けし、状況を把握することは、優れたコーポレートガバナンスの基礎となります。
まとめ
質問は、問題をどのように捉えるかを決定する手段です。CISOが取締役会にプレゼンテーションを行う際に感じる不安や、取締役がCISOの説明を解釈しようとする際の不安は、逆効果です。取締役とCISOは、構造化されているが柔軟な対話を行う必要があります。この対話を通じて、両者が理解や優先事項、サイバーセキュリティ対策の現状を確認することができます。高度に効果的なセキュリティプログラムを指導するCISOは、この協力関係と信頼から利益を得ます。
私たちは、数少ない「クラウド生まれ」かつ「クラウド向けに構築された」クラウドセキュリティ企業の一つとして、サイバーセキュリティリスクを理解するだけでなく、それを組織全体に伝える力を持つことに対してプレッシャーを感じています。
今年後半に、このトピックに関するLinkedIn LiveセッションとQ&Aを開催予定です。まだフォローされていない方は、ぜひLinkedInでフォローしてください。イベントの招待状が公開された際に通知を受け取ることができます。