サイバーセキュリティはCEOの関心を集めていますが、実際に行動を起こせているのでしょうか。
PwCの第24回Annual Global CEO Surveyでは、CEOはビジネスの展望に対するリスクとして「サイバー脅威」を「パンデミックやその他の医療危機」に次ぐ第2位のリスクとして挙げています。北米と西欧では、サイバー脅威が第1位でした。
2022 Global Digital Trust Insights Surveyの結果では、CEOは自身がサイバーセキュリティの目標設定・達成に積極的に関わり、支援していると認識している一方で、CEOに対する従業員の評価と比較すると、CEOと従業員で「期待値のギャップ」があることが判明しました。組織の文化を決定する上でCEOが主導的役割を果たしていることを踏まえると、このギャップが解消されないままでは全社的に誤ったセキュリティ意識が植え付けられ、最悪の事態を招く可能性があります。
CEOはサイバーセキュリティにどれだけ関与しているでしょうか。約700名のCEOと2,900名の経営層を対象に調査した結果、CEOは他の役職者の回答と比較して、CEO自らがサイバーセキュリティに積極的に関与していると考える傾向にあります。
多くのCEOが、サイバーセキュリティ関連の取り組みに積極的かつ戦略的に関わっていると自認しています。CEOは、M&Aや将来的なオペレーションモデルの変更、将来の戦略におけるサイバーセキュリティおよびプライバシーへの影響についての議論に参加していると述べています。
しかし、CEO以外の経営層の見方は全く異なります。彼らは、CEOはサイバーセキュリティに関して消極的であると評価しているのです。CEOがサイバーセキュリティやプライバシーの問題に関与するのは、情報漏洩などのインシデントが発生した場合や規制当局から連絡を受けた場合が最も多いとしており、事態が起こる前には関与していないと答えています。
CEOはCEO以外の経営層と比較して、6分野のサポートレベルを「強力」と評価しました。例えば、サイバーセキュリティの「十分なリソース、資金、適切な優先順位の確保」に強力なサポートを提供していると答えた割合が、CEOは37%であるのに対し、CEO以外の経営層は30%に留まりました。
また、「組織のサイバーリスクに関する投資家の不確実性を低減する」ことに対してサイバーリーダーシップを強力にサポートしていると答えた割合が、CEOは34%であるのに対し、CEO以外の経営層は29%に留まりました。その他にもCEOの36%は、顧客やビジネスパートナーとの関係を築くためサイバーリーダーシップをサポートしていると回答しましたが、CEO以外の経営層でそのようなサポートがあると述べたのは30%に留まりました。
調査における「最も進歩を遂げた」グループ(過去2年間のサイバーセキュリティの成果が最も良かった企業)のCEOは、全てのカテゴリーにわたり強力なサポートを提供している割合が他の企業と比較して14倍高くなっています。同様に、最も進歩を遂げたグループのCEO以外の経営層は、CEOがそのような強力なサポートを提供していると答えた割合が他の企業と比べ12倍高くなっています。
CEOの積極的な関与とサポートは長期的に重要です。ほとんどの地域と業界において、2030年に向けてより安全なデジタル社会を実現するために最も重要なことは、CEOや取締役会がサイバーセキュリティに関する義務および責任を適切に果たすことができるよう、教育することであると経営層は述べています。
サイバーセキュリティに対するCEOの関与とサポートのレベルに関して、CEOとCEO以外の経営層間にある期待値のギャップを埋めるべき時が来ています。調査回答者の46%がサイバー問題に関するCEOとのコミュニケーションは過去2年間で大幅に増加しており、事態は良い方向に向かっています。
CEOが社内のサイバーセキュリティのミッションをどのように位置づけているか調査したところ、CEOの半数以上(54%)が、狭く短期的なものではなく、より大局的で成長に関連する目標を選択しました。
この考え方はCEO以外の経営層も同様で、いずれも「顧客のデータをどのように倫理的に使用・保護するかに関して、顧客との信頼を構築する方法」が、サイバーミッションの選択肢として最上位に挙がりました。CEOは組織全体の方向性を決定しているのです。
CEOとCEO以外の経営層が今後3年間のサイバーセキュリティに関して掲げる目標の上位は同様です。上位の目標は、防御を最も重要なものとし、次にレジリエンス、そして信頼(消費者の信頼を含む:「顧客エクスペリエンスの向上」と「顧客ロイヤルティの向上」がそれぞれ5位と7位)が続きます。防御、レジリエンス、信頼は、サイバーセキュリティを支える3本の柱となっており、それぞれがビジネス全体のセキュリティにとって重要です。
上位の目標は以下のとおりです。
サイバー対策で「最も進んでいる」もしくはサイバーセキュリティの成果が「最も向上した」上位10%の企業は、CEOからのサポートを受けている傾向にあります。しかし、全体の大多数(63%の企業)は、CEOから必要なサポートを受けられていません。CEOとCISOの両者が会社の利益のために、より一層協力し合う必要があります。
CEO:過度な負担をかけることなく、企業のサイバーセキュリティにどの程度関与するべきか。
「強力なCEO」のアクション:組織全体のセキュリティとプライバシーの必須事項を確立するための明確な声明を発表すること。例えば、Liberty Mutual社のミッションステートメント「人々がより安全で安心な生活を営めるよう支援する」は既に暗黙の了解となっています。Red Bull社は顧客に高品質な商品とサービスを提供するために、セキュリティを不可欠な要素にすることをCISOに課しています。
上記に関するCEOの必須事項:CISOに対してサイバーセキュリティのミッションを実行する権限を付与し、セキュリティバイデザインやセキュリティバイデフォルトのプロセスを運用するリソースを提供することなどが必要です。CISOを経営層に加えるという方法もあります。また、CISOが取締役会とのコミュニケーションを強化したり、企業の構造を見直しセキュリティスタッフをビジネスチームに組み込むサポートをしたりするといった方法もあります。CISOに権限を与えるということは、社外の顧客に対してセキュリティやプライバシーに関する取り組みを発信できるプラットフォームを与えることにもなります。
ビジネスの世界が非常に複雑化している現在において、3つ目の使命がCEOに求められます。
CEOは、セキュリティチームが無駄な習慣を特定した際に、会社のビジネスモデルやオペレーションモデルにおける個々の要素を修正し、会社を「わかりやすくセキュア」にする必要があります。例えば、スピードを重視し、「取りあえず商品化して、セキュリティの修正は後回し」という考え方が蔓延しています。また、企業はリモートワークのリスクを十分に軽減できていません。事業部門が自主的にITソリューションやサービスを選定したり、サードパーティと契約したりする場合が多くあります。サイバーセキュリティは、クラウド導入などのDX施策において後回しにされることがあまりにも多いのです。
CEOが行動を起こすことで、「ゼロ・トレランス」の姿勢を強化でき、セキュリティ実装の阻害要因となる複雑さを徹底的にシンプルにしていく発想を組織に広げることができます。
CISO:ビジネスをどの程度理解していますか。ビジネスサイドのリーダーとの繋がりはどうですか。
わかりやすくセキュアな組織のために、CISOは技術分野にとどまらず活動範囲を広げなければなりません。例えば、取締役会が理解できる言葉でリスクの財務的影響について説明する方法をCFOから学ぶ、プロダクトマネージャーと協力して開発者が使いやすいアプリケーションのセキュリティ対策を考案する、などです。
このような変化を起こすために、多くのCISOは思考の転換を求められるかもしれません。今回の調査で、CISOはCIOや最高技術責任者とのコミュニケーションが最も多く、最高マーケティング責任者やプロダクトマネジメント責任者とのコミュニケーションが最も少ないことが判明しました。また、CFOとの交流も少ないです。CISOはより多くの時間をかけてこれらの社内パートナーと関わり、分かりあい、彼らのビジネス上の要求に対する理解を深める必要があります。
21%以上が最も交流が少ない3つの役職の内にCEOを挙げており、約10%の人がCEOを最下位に選んでいました。西欧では27%、東欧では28%のCISOが、CEOを最も交流が少ない相手としており、次いでアジア太平洋(21%)、北米(19%)となっています。
CEOの場合
CISOの場合
※本コンテンツは、Can the CEO make a difference to your organisation’s cybersecurity?を翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
