ビジネスの優先順位とサイバー・セキュリティの均衡：Google が考える取締役会へのアドバイス

Balancing cybersecurity with business priorities: Advice for Boards

2023/04/18 HelpNetSecurity — 今日の急速に進化する技術環境において、これまで以上に取締役会や経営陣にとって重要となるのは、テクノロジーやデジタルの最新の進歩や潜在的なリスクについて、常に情報を得ることである。この Help Net Security のインタビューでは、Google Cloud の Director, Financial Services, Office of the CISO である Alicja Cade が、 正しい疑問を持つことで、サイバー・パフォーマンスと準備状況を改善し、責任ある AI プラクティスを推進すべきだと述べている。それにより、サイバー・セキュリティの必要性と、ビジネスにおける他の優先事項をバランスさせる方法について、洞察が提供されるとしている。

Cade は、組織が現代世界の複雑なデジタル・ランドスケープをナビゲートするための、組織として準備が整っていることの確認を望むリーダーたちに対して、貴重なアドバイスを共有している。

いまの組織は、進化するサイバー脅威の状況に直面している。CEO や取締役会が、テクノロジーとデジタルの能力について尋ねるべき質問と、それらの質問がサイバー・パフォーマンスの準備向上に、どのように役立つかを例示できるか？

脅威の状況は、引き続き動的かつ複雑であり、このような傾向は 2023年以降も続くと予想される。ほとんどの場合、サイバー・セキュリティのリーダーたちは、脅威に関する適切なインテリジェンスの必要性を理解している。しかし、多くのケースで見られるのは、自分たちの組織を攻撃してくるサイバー犯罪者たちの、意図や目論見を十分に理解せずに、意思決定が下されている状況である。

このような情報のギャップを解消し、リスク管理における意思決定際して、取締役会が主導的な役割を果たすことが可能である。このような関係を構築するために、少なくとも四半期ごとに、取締役会は CISO に対して、３つの重要な質問を行う必要がある：

• 私たちは、サイバー・セキュリティに、どの程度長けているのだろうか？ サイバー・セキュリティ・チームに所属する人材と、彼らの専門知識と経験について、取締役会はもっと知るべきである。この質問に答えるには、コンプライアンス・ダッシュボードやサイバー・セキュリティ管理策だけに頼ることができないため、取締役会にとって重要なことである。インシデント・イベントに対応するチームの実践的な能力について、取締役会はより深く理解する必要がある。もちろん、ダッシュボードは素晴らしい情報源になり得るが、そこに示されるのは、組織が測定すべきものではなく、単に測定できるものではないだろうか。
  
• 私たちは、どの程度回復力があるのだろうか？ 取締役会は、CISO やテクノロジー・リーダーたちに、ランサムウェア攻撃などが発生してもビジネスを継続できるよう、どのような備えをしているのかを聞くべきである。さまざまなシナリオで必要とされるレベルでの、フェイルオーバーを提供するデザインを検証しているのか？主要なビジネスサービスを、劣化した状態で運用できるのか？
  
• 当社のリスクはどの程度か？ 取締役会は、最低限、サイバー・セキュリティのリスク評価において、次の５つの主要な分野に取り組むことを確認すべきだ： 1) いま現在、組織が受けている脅威の評価、2) それらの脅威を軽減するためにサイバー・セキュリティのリーダーが行っていること、3) コントロールの有効性の有無を組織がテストする方法の例、4) それらの脅威が事件として具体化した場合の結果の評価つまり、対応と復旧の準備ができているか、5) 軽減しないリスクと受け入れるリスクに対する評価。

サイバー・リスクへの対応は、多くの企業にとって課題であるため、取締役会のメンバーが適切な監督を行い、リスク管理の優先順位つけることが重要になっている。これらの検討事項については、Google Cloud の レポート Perspectives on Security for the Board で、詳しく説明している。

いまの組織が直面している、サイバー・セキュリティの最重要課題に取り組み、責任ある AI の実践を推進するために、取締役会が積極的な役割を果たすにはどうしたらよいのだろう？

今日の組織にとって最大の課題の１つは、どのように AI パワーを活用するかということだ。ほとんどのビジネス機能において、意思決定プロセスの改善／拡張／加速を実現する AI の可能性を、私たちはまだ見始めたばかりである。

取締役会に対しては、この旅路において、組織を支援するの最善策を検討する際に、AI の有益かつ変革的な可能性を認識することを推奨する。Google では、責任ある AI の実践をいち早く導入し推進してきた。そこでの原則は、ビジネスを安全に構築／成長させるために、Google 製品を活用している顧客に対する、継続的なコミットメントとして機能している。

AI 技術のメリットを最大化し、リスクを最小化するために、取締役会は CISO と協力して、安全／拡張／進化という３つのアプローチを取ることを推奨すべきだ。つまり、安全な AI システムを導入し、AI の力を活用して、規模に応じたサイバー・セキュリティ成果を達成すべきであり、この分野の進化について、常に情報を収集して脅威を予見してほしい。

サイバー・セキュリティの必要性と、ビジネスにおけるイノベーションや成長といった要素を、取締役会はどのようにバランスをとるべきか？

取締役会は、サイバー・セキュリティを孤立した優先事項として捉え続けている。これまでにおいても、サイバー・セキュリティに投資する傾向が強まっていたが、その背景にある基盤技術の近代化には投資していない。

このバランスを取るために、取締役会は、CISO に加えて CIO／CTO／CRO の間での深い協力を促し、すべての製品およびサービスにおいて、優れたセキュリティを構築し、セキュリティを付加価値として認識させる必要がある。

サイバー・セキュリティに関して、取締役会が抱いている一般的な誤解と、それに対処する方法は？

最も大きな誤解の１つは、企業のセキュリティが CISO と、そのチームだけの責任であるというものだ。サイバー・セキュリティはチーム・スポーツである。

組織のセキュリティをめぐる取締役会でのやり取りは、CISO だけが行うべきものではなく、取締役会は CIO／CTO／CRO たちと協力し、すべての事業部門が戦略の一環としてサイバー・リスクについて話し合うことを期待すべきだ。新たな戦略の立ち上げについて議論する際には、すべてのビジネス／テクノロジー部門の幹部に対して、取締役会がセキュリティを含む広範なリスクについて検討するよう求めることが不可欠である。

サイバー・セキュリティに関連する潜在的な規制上の義務に対して、取締役会は、どのように準備すればよいのだろう？

世界各国の政府は、発生したサイバー・インシデントについて、関連する政府当局に報告させる要件など、サイバー・セキュリティの基本水準を強制的に引き上げるための、規制措置を強めている。米国では、連邦／州レベルでの規制リスクが高まる中、取締役会のサイバー・セキュリティに対する理解は、これまで以上に重要なものとなっている。取締役会は、このような傾向に対して、組織的に対応する方式において重要な役割を果たすことになり、この将来の状態に対して今から準備する必要がある。

私たちは、効果的なサイバー・リスク監視のために、以下の３つの原則を採用することを推奨する：

• 重要なトピックについて教育を受け、広範なサイバー／テクノロジー・リスクが、戦略的な議論や運用上のリスクといった、組織の意思決定に組み込まれていることを確認する。
  
• CISO や、その他の C-Suite リーダー、主要なビジネス利害関係者と関わり、より良い関係を築き、重要なギャップやリソースの必要性を理解する。このリスクが、サイバー・セキュリティ・チームだけではなく、すべての経営幹部にとって、優先事項として扱われるようにする。
  
• 継続的な報告活動に関する情報を入手して質問し、CISO などのリーダーと協力して、サイバー・リスクの指標を理解する。

取締役会を構成する人々が、質問すべきことを並べていますが、裏返せば、このレベルに達してほしいという、セキュリティ・チームの願いが込められた記事だと思います。この記事のベースとなる、Google の Perspectives on Security for the Board を、多くの人々に読んでほしいと思います。せめて、せっかく訳した、この記事だけでも・・・