サイバーセキュリティの知識や経験に大きな格差

会社の経営幹部が持つサイバーセキュリティに関する知識と、サイバーセキュリティのご担当者が持つサイバーセキュリティの知識や経験の間に大きな格差があるのは当然であり、驚くにはあたりません。両者はそれぞれ抱える責任範囲が違いますが、攻撃を受け機密情報の流失に繋がった場合、責任問題等、双方に多大な影響があります。

企業の経営幹部は、収益、利益、資産、在庫、および計測可能なその他の多くの分野に関して直接責任を負っています。サイバーセキュリティのご担当者は、サイバー攻撃を受けた結果が、悪いニュースの見出しにとどまらず、信用失墜、顧客への補償など、会社のビジネスにどのような悪影響をもたらすかというサイバーセキュリティのリスクを、経営幹部に説明をしておく必要があります。

会社の機密情報・顧客情報の流出は、顧客の損失、ブランドの評判における損失、訴訟費用の高騰、不履行罰則、雇用の損失をもたらし、最終的には企業の総決算に直接的な影響を与えます。これらはいずれも、経営幹部が非常に高い関心を持つ分野です。

しかし多くの経営幹部の方が、サイバーセキュリティの世界で何が起こっていて、自社のビジネスや業績に関してどんな影響が出るかを理解することなしに、サイバーセキュリティ対策に関する投資や意思決定を求められています。正しい判断を下すことが困難なため、新規投資の意思決定は先送りされてしまいます。

サイバーセキュリティの影響を経営幹部に分かり易く説明できていない

残念なことに、多くのサイバーセキュリティのご担当者は、サイバーセキュリティ対策を経営幹部に説明する際に、技術的な専門用語で幹部をうんざりさせてしまいがちであり、経営幹部が興味のある分野への影響を分かり易く説明できていない、というケースが多々あります。経営幹部や取締役会のメンバーに対しては、ファイアウォール、SIEM、インシデント対応、マルウェアなどの専門用語ではなく、利益、予算やリスク管理などの用語を使って説明するべきです。

ほどんどの日本企業では、成長の促進、新しい市場の獲得、新製品の開発とロールアウト、新市場への進出などのさまざまなプロジェクトが走っています。今後ますます、様々なプロジェクトで外部組織（ベンダー、請負業者、代理店など）との提携が必要となるほか、多くの場合、ビジネスプロセス、知的財産、会社固有のデータに対する共有アクセスも必要となります。　

それぞれのプロジェクトがサイバーセキュリティ上どのようなリスクを持っているのか

サイバーセキュリティのご担当者は、それぞれのプロジェクトがサイバーセキュリティ上どのようなリスクを持っているのか、これらのリスクが収益や資産など、経営幹部に関心のある分野にどのように影響するか、そしてこれらのリスクをどうやって軽減するかについて、経営幹部に説明をしておく必要があります。さもなくば、情報流出の際に責任を問われかねません。

社内政治の観点から言えば、サイバーセキュリティのご担当者は、財務担当役員、人事担当役員、マーケティング担当役員という3つの経営幹部とテクノロジー部門の協力体制の必要性を強調すべきでしょう。これらの経営幹部は、サイバー犯罪者が最も欲しがっているデータ（それぞれ財務データ、従業員データ、顧客データ）に関する監督責任を負っているからです。

サイバーセキュリティ対策の問題や提案に関して経営幹部にアプローチする場合、それぞれの企業幹部が責任のあるビジネス分野に対するサイバーセキュリティのリスクや影響という文脈で説明を行うと、それぞれの役員より新規投資に対するサポートを得られ易くなります。貴方の前向きな対応が、会社と取引先、そして従業員のサイバーセキュリティを守ることにつながります。

ホワイトペーパー「サイバー攻撃に関する5つの誤った通説」

サイバー攻撃は減少するどころか、むしろ標的とする組織、業種を拡大してきています。複雑なサイバー攻撃を防御するには、これまでの正しいとされていたサイバーセキュリティの常識、通説を考え直す必要があります。本書で、5つの誤った通説と推奨されるアプローチについて学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=609