IT & Information security Journal
近年、サイバーセキュリティリスクは、特定の部門だけが対応すべき課題ではなく、企業の存続を左右する重要なコーポレートリスクであるという認識が進んでいます。そうしたなか、セキュリティ部門の担当者には、専門的な知識・スキルに加え、経営者に対して的確な情報提供や説明を果たす能力が求められています。また、自社が抱えるリスクを正確に把握し、それに見合ったセキュリティ予算を獲得するための戦略的なコミュニケーション能力も不可欠です。
2024年12月に開催された「Security Innovation Conference 2024 Winter 〜DX時代のセキュリティ対策〜」では、NRIセキュアテクノロジーズ株式会社の足立 道拡氏が「セキュリティ予算で困らない企業になるためのリスクコミュニケーション術」と題して講演しました。本記事では、経営者との効果的なリスクコミュニケーションを実現するための具体的な手法が解説された同講演の模様をレポートします。
この記事のポイント
日本企業では、IT関連予算のうちセキュリティ予算の割合が10%を下回る「10%の壁」が存在する
米国・豪州の企業では95%以上にのぼるCISOの設置率が、日本企業では40%程度に留まっている。CISOの設置率が高い国では、CISOが経営者と現場との通訳となってコミュニケーションを取る一方、日本企業では、CISOの不在によってセキュリティ予算交渉のハードルが高くなっている
経営者と円滑なリスクコミュニケーションを行うための4つのポイントは「同業他社を引き合いにして説明する」「対策の必要性を、権威付けして訴える」「インシデントの影響が委託元等に波及する可能性を伝える」「セキュリティ対策の必要性を複数の視点から伝える」
講演の冒頭、足立氏は、NRIセキュアテクノロジーズ株式会社が毎年実施している「企業における情報セキュリティ実態調査2023」1 を引用し、日本企業におけるセキュリティへの取組みの現状を説明しました。
同調査によれば、セキュリティ人材が不足している日本企業は約90%にのぼっており、これは欧米の2.5%程度と比べると大きな乖離があります。また、日本企業におけるセキュリティ人材不足を補う施策の実施率も20%弱に留まっているといいます。
さらに足立氏は、サプライチェーンとして管理すべき対象の全体像を把握できていない日本企業が30~40%にのぼること、米国や豪州の企業ではCISO(Chief Information Security Officer:最高情報セキュリティ責任者)の設置率が95%以上にのぼる一方、日本企業の全体平均では40%程度に留まっていること(従業員10,000人以上の企業では約60%)などを紹介しました。
また、企業間の業務上のつながりやコラボレーションが多様化し、グループ企業のみならず委託先やサードパーティとのクラウド連携・データ連携などが進む一方で、サイバー攻撃の対象となる領域(アタックサーフェス)がますます広がっています。
加えて、法制度やガイドラインの整備により、企業が対応・遵守すべき領域も拡大しています。たとえば米国のNIST Cybersecurity Framework 2.0(NIST CSF 2.0)2 では、従来のセキュリティ管理策である「特定」「防御」「検知」「対応」「復旧」の5機能に、それらを実行するための意思決定の土台として「統治(ガバナンス)」が加わりました。経営者には迫りくるリスクの中から、きちんと優先度をつけて投資の要否を見極めていく責任があることが示されたといえます。
日本でも、2023年10月に公表された「金融分野におけるサイバーセキュリティに関するガイドライン」3 が、経営者の関与を体制整備の大前提としており、経営陣は少なくとも年に1回、自組織を取り巻くサイバーセキュリティリスクに関する状況、リスク評価の結果、取り組み計画の進捗状況の報告を担当部署に求めることを要請しています。
こうした法令・ガイドラインの整備により、経営者やセキュリティ部門が果たすべき役割がより重要になる一方、日本企業のセキュリティ対策には「10%の壁」が存在すると足立氏はいいます。これはIT関連予算のうち、セキュリティ予算の割合が10%未満に留まる状態を指し、約7割の企業がこれに当てはまるといいます。
こうした状況下、セキュリティ予算の獲得はセキュリティ担当者にとって重要課題の1つといえるでしょう。しかし、経営者との交渉を行ううえで、セキュリティ担当者は「セキュリティ予算の妥当性を示せない」「予算を増額したいがコスト削減の対象になってしまう」といった課題に直面しがちだと足立氏は語ります。こうした予算交渉が日本企業で上手くいかないのは、先述したCISOの不在が原因になっていると足立氏は指摘します。
米国・豪州などCISOの設置率が高い国ではCISO主導のセキュリティ体制ができており、セキュリティ予算の交渉時にはCISOが経営者と現場との通訳となって、上手くコミュニケーションを取っています。しかし、多くの日本企業ではCISOの不在によって、予算交渉のハードルが高くなっているのです。
では、セキュリティ予算不足で困らないために、セキュリティ担当者は具体的にどうすればいいのでしょうか。足立氏は、これまでに多くの企業を支援した経験から「リスクコミュニケーション上手になること」が1つの解決策だと提言します。
経営者とのリスクコミュニケーションにおいては、セキュリティに関する高度な知識や技術的な根拠を前面に出すのではなく、経営者が共感・理解しやすい内容をベースに、経営視点で訴求することが重要です。特に、セキュリティ予算を確保するためのポイントは「素朴な疑問・質問に丁寧に回答すること」だと足立氏はいいます。
「リスクコミュニケーションが上手なセキュリティ担当者ほど、視座を転換して経営者が抱きがちな疑問・質問にしっかりと回答している。いきなり予算を要求するのではなく、遠回りであっても、判断のプロである経営者にわかりやすい判断材料を渡すことが予算獲得の近道といえる」(足立氏)
| 経営者が感じる疑問・知りたいこと(例) | 良いコミュニケーションを取るための材料 | |
|---|---|---|
1 |
法律、規制に対応できているか | 政府や規制当局の要請への対応状況 |
2 |
ベンチマーク(同業他社、世間と比べてどうか) |
|
3 |
自社は後れを取っていないか |
リスクアセスメント(NISTやISOなどのグローバルフレームワークを用いた第三者評価など) |
4 |
最新の事件・事故からの教訓 |
直近で発生した事件・事故の要点共有とリスクシナリオ分析 |
5 |
優先的に対応すべきことはなにか |
リスクベースアプローチ、ヒートマップ |
6 |
セキュリティの投資対効果(リアルな脅威に対応できるか) |
ペネトレーションテスト、セキュリティ診断など |
また足立氏は、リスクコミュニケーションを上手く図るためのコツとして、次の4点をあげました。
NRIセキュアテクノロジーズ株式会社が実施した「企業における情報セキュリティ実態調査2022」4 によれば、国内企業がセキュリティ対策を実施したきっかけの1位は、「他社のセキュリティインシデント事例」でした。つまり同業他社のインシデントの内容と、セキュリティ対策との因果関係を提示することで、経営者にセキュリティ予算の必要性を感じてもらえる可能性が高いということです。
企業ごとのサイバーセキュリティ対策について客観的な格付けを実現するセキュリティレーティングサービスなどを用いれば、自社と同業・競合他社とのベンチマークを迅速に行うことができます。
セキュリティ予算の交渉時に、経営者が「セキュリティ担当者の主観的な判断で申請しているのではないか」との疑念を抱くケースが見受けられると足立氏はいいます。こうした疑いを解消するには、セキュリティ予算の裏付けについて、適切な根拠を用いて権威付けすることが重要です。たとえば、経営者がグローバルに事業を展開していきたいと考えている場合、予算交渉のなかで、国内外のガイドラインと自社の現状とのフィットアンドギャップを訴求するのが非常に効果的です。
また、外部の専門家の力を借り「第三者の専門家も同様の意見である」と示すことで、上申するセキュリティ予算・対策を権威付けできるだろうと足立氏は語りました。
独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威」5 では、サプライチェーン攻撃が7年連続でランクインしています。サイバーセキュリティ経営ガイドライン 6 やNIST CSF 2.0でも、サプライチェーンリスクマネジメントは重要課題とされています。経営者には、1社が抱えるセキュリティリスクが、サプライチェーン全体に波及しかねないことを意識してもらう必要があります。
「大切なのは、自社がサプライチェーンを構成する一員であるという自覚を持ち、被害者にも加害者にもならないようにあらかじめ対策しておくこと。そうした建設的な危機意識を経営者に伝えることがポイントになる」(足立氏)
委託先のリスク管理のためには、各社のセキュリティ評価を行うことが必要ですが、委託先が多い場合、人手がかかるアンケート調査などでこれを行うのは現実的ではありません。委託先各社の企業ドメインを登録するだけで、自動でリスク評価・結果算出が行えるサービスなどを使うことで、あらかじめサプライチェーン全体のリスク評価を行っておくことが備えになると、足立氏は説明しました。
前述のとおり、経営者にセキュリティ対策の必要性を自分ごととして意識してもらうためには、セキュリティ脅威や技術論の観点から説明するだけでなく、経営者の視点に立ち、多様な側面から訴求することが重要です。
具体的な訴求方法としては、たとえば過去に、教育業界のある企業において情報漏洩事件をきっかけに取締役2人が辞任したケースがありましたが、それを引き合いとして「セキュリティ事故による責任が経営者個人にも及びかねない」と説明することが考えられます。また、「サイバー被害を受けることで決算報告を延期する事態になり得る」など、セキュリティ対策不足により生じ得る、経営に関わるネガティブな事象を示すことで、関心を持ってもらえるかもしれません。
さらに、必要なセキュリティ対策を行い、その状況を開示することで「顧客や取引先に対して、安心してサービスを利用してもらうことができる」「機関投資家の企業格付けなどにプラスの影響を与えることができる」といったポジティブな方向からの訴求を行うことも有効でしょう。
足立氏は最後に「セキュリティ担当者が経営者と良質なリスクコミュニケーションが取れるようになれば、『セキュリティ予算上手の企業』に近づける」と強調して、講演を結びました。
(文:渡邊智則)
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
サイバー保険の基本と最近の動向
CLOSEUP セキュリティ組織
この記事をシェアする
最新情報をフォローする