経営層におけるサイバーセキュリティへの関与の実態

デジタルトランスフォーメーションの加速により、「サイバーセキュリティは経営課題である」との認識が業界のスタンダードとなりつつあります。サイバーセキュリティを企業文化として根付かせるためには、サイバーセキュリティ戦略に対する経営層の積極的な関与が必要です。

2021年5月19日

「私が最終的に責任を取る(The buck stops here)」という経営層の役割を的確に表現した格言があるのをご存じでしょうか。これはつまり、企業の経営層は、ビジネス上クリティカルとなるテクノロジー資産などを含め、管轄するビジネスのすべての側面に対して最終的な責任を負うことを意味しています。

サイバー脅威が増大し続ける昨今においては、トップダウンでセキュリティ対策の強化に取り組む必要があります。調査会社であるEnterprise Strategy Group(ESG)は、北米と西ヨーロッパの地域における365人の経営幹部、サイバーセキュリティ担当者、IT技術者を対象に、経営層とITチーム間のコミュニケーション、コラボレーション、そして生産性の評価を行ったうえで、組織内でのセキュリティとビジネスの整合性を高めるための改善点を提案しています。

 

CEOや役員が指針を示して組織をリードする必要性が高まっている

ESGの調査によると、回答者の82%が、過去2年間にサイバーリスクが増大したと回答しました。その主な原因としては、脅威の増大、企業の攻撃対象領域の拡大、組織とビジネスプロセスがこれまで以上にテクノロジーに依存していることがあげられます。

依然として、セキュリティは、主に(41%)または全面的に(21%)技術的な課題とみなされてる

過去12カ月間に、デジタルトランスフォーメーションプロセスの採用が着実に増加していることを考慮すると、これは憂慮すべき数値です。経営層については、セキュリティへの関与が不足しています。つまり、CISOの多くは、コンプライアンスとデータ保護要件を満たすことを目的とした必要最低限な資金しかセキュリティに投入したがらないということです。

ほとんどの組織は「必要十分なセキュリティ」で満足している

セキュリティ専門家の間では、経営層が資金を投入するのは、組織が規制を遵守し、基本的な保護を実現するためのサイバーセキュリティ担当者、プロセスおよびテクノロジのみであることを嘆いています。残念ながら、この問題は依然として多くの組織で起こっています。

調査対象者の54%が、組織におけるサイバーセキュリティへの取り組みを「普通」、「最低限」または「消極的」と評価

一方、経営層のサイバーセキュリティへの取り組みを「普通」または「最低限」と評価したのは41%です。経営層による関与が不足していると、サイバーセキュリティが不十分になり、セキュリティとビジネスプロセスが適切に統合されなくなる可能性があります。

サイバーセキュリティとビジネスとの整合性を高めるために何ができるか?
経営層がもっとサイバーセキュリティに関与し、知識を高めれば、より専門的な質問を投げかけ課題を掘り下げることができるようになるでしょう。そして、サイバーセキュリティの課題をビジネスの課題として考えることができるようになります。

ビジネスとサイバーセキュリティの整合性を高めるために、ESGの調査回答者が支持したトップ3のアクションは以下です。

  1. セキュリティチームを早い段階から事業計画や主要な戦略会議に参加させる(33%)  
  2. 経営層に対するセキュリティトレーニングを改善・強化する(33%)
  3. サイバーリスクに関する意思決定を向上させるために、データの収集や分析を改善する(32%)

 

また、回答者は、ビジネスとサイバーセキュリティのギャップを埋めるために以下のような解決策を支持しています。

  1. ビジネスインフォメーションセキュリティマネージャー(BISO)を雇用・任命し、ビジネスプロセス、重要資産、機密データ、従業員の役割などのセキュリティを詳細に管理する。
  2. KPIを活用してトップダウン方式で体系化および文書化し、CISOが他の経営層とよりよいコミュニケーションをはかれるよう、プログラム化を行う。
  3. CSIOがCEOの直轄となるように組織構造を変更する。つまり、これにより、CEOがセキュリティ課題を認識する機会が増え、サイバーセキュリティチームがビジネスに与える影響が大きくなる。

 

取り組みが進んでいる組織における、セキュリティ部門の経営層とビジネス部門の経営層との関係に関する貴重な洞察を得て、先進的な企業とそうではない企業との違いを比較していただければと思います。ぜひ、ESGの「Cybersecurity in the C-Suite and Boardroom(経営層におけるサイバーセキュリティへの関与の実態)」をご一読ください。

ESGについて

Enterprise Strategy GroupはITに関する分析、調査、検証および戦略立案を行う企業であり、世界中のIT企業に実際的な見解や情報を提供しています。

資料ダウンロード

Cybersecurity in the C-Suite and Boardroom(経営層におけるサイバーセキュリティへの関与の実態)

トレンドマイクロについて

サイバーセキュリティの世界的なリーダーであるトレンドマイクロは、デジタルインフォメーションを安全に交換できる世界の実現を目指しています。

トレンドマイクロは、30年以上にわたるセキュリティの専門知識の蓄積、グローバルな脅威研究、革新的な技術開発の経験を活用し、ネットワーク統合型セキュリティをITインフラストラクチャ全体に提供することで、企業、政府、消費者のレジリエンスを向上しています。