RSAカンファレンス現地レポートの第三弾として、今回は主に「サイバーセキュリティ経営」をキーワードとした講演内容の概要をお届けしたい。
RSAカンファレンス2023 現地レポート|テーマは「Stronger Together」
RSAカンファレンス2023現地レポート②|急速な進化を遂げるAIとクラウド、サイバーセキュリティ上の課題とは?
昨今、緊迫感を増す国際情勢やそれに起因する国家レベルでのサイバー攻撃の増加、攻撃手法の高度化等にともなって、企業が自社・サプライチェーン全体に対してどのようにセキュリティ対策を推進し、リスクに対応していくかが重要なテーマとなっている。
※“Why I’m Optimistic (And You Should Be, Too)”の講演の様子(リンク先はRSAの公開するYouTube動画)
また近年では、世界中でデータ保護・プライバシーに関する法規制の整備も盛んである。カンファレンス中にも、関連する講演において、すでに世界の71%の国・地域でデータプライバシーに関連する法規制が施行済であることや、米国内では各州で独自の法規制整備も進んでいるといったトレンドの紹介がなされていた。
さらに第二弾のレポートでもとりあげたように、AI・クラウドセキュリティ領域等、セキュリティに関連する技術は日々進化を続けており、活用方法次第で、企業にとって脅威にも恩恵にもなりうる状況である。
こうした外部環境の変化から、企業が抱えるサイバーセキュリティ上の課題は、情報セキュリティ担当部門のみに留まらず、より全社的な対処が求められる性質のものへの複雑化していく傾向にある。本カンファレンスにおいても、「CEOや取締役会を巻き込みながら企業としてどのようにセキュリティ対策を推進していくか」を議論するセッションが一定数開催(30セッション程度)されており、筆者が参加した関連セッションでも、各国企業のCISOを中心に活発な議論や質疑が行われるなど大きな関心を集めていた。
また経営レベルでサイバーセキュリティの対応体制の構築や施策推進を考えていくうえでは、グローバルで共通的に活用されているフレームワークやベストプラクティスを参照するアプローチが一般的であるが、代表的なフレームワークのひとつであるNIST Cybersecurity Frameworkが今後改訂を予定していることから、改訂の背景やポイントを紹介するセッションにも多くの参加者が集まっていた。
本稿では、こうした「サイバーセキュリティ経営」に関係する講演についていくつか取り上げ、その概要や当社コンサルタントの見解をご紹介したい。
▶「企業における情報セキュリティ実態調査」をダウンロードする
サイバーセキュリティ経営
Geopolitical Resilience: Why Operational Resilience Is No Longer Enough
講演者:
Ann Johnson (Corporate Vice President, Microsoft Security Business Development)
Nadav Zafrir (Co-Founder & Managing Partner, Team8)
概要:
昨今急激に緊張感を増している国際情勢とそれに伴う脅威動向等を踏まえ、サイバーセキュリティ観点で地政学的なレジリエンスを確保する必要性についての議論が行われていた。
昨今の国際情勢においては、脱グローバリゼーション(Deglobalization)と両極化(Polarization)の傾向が顕著であり、地政学的な緊張関係の高まりから国家レベルでのサイバー犯罪も増加しつつある。そのため、企業のサプライチェーンを構成する国・地域に着目したセキュリティリスク管理やそれを実現するための業界横断的な連携が必要である旨の解説が行われていた。
CISOはその職責上、CEOやCFOのオフィスに訪れてセキュリティの予算を依頼し確保する立場であることが多い。しかし、上述するような複雑化する地政学的なサイバーリスクに対して企業の事業を担保するためには、今後はむしろCEOやCFOと同じ議論の場について、積極的に脅威動向等の注意喚起を行うこと、そしてサイバーセキュリティ観点を十分に考慮した事業継続計画を策定することが求められてくる旨の見解が述べられていた。
当社コンサルタントの見解:
講演中、スピーカーのAnn氏からは「Microsoftでは、こうした地政学的な情勢変化に対応するための事業継続計画の準備や強化に常時取り組んでいる。」との言及があった。
IT・セキュリティに関連する事業継続計画は、重要なシステムの優先順位付けや復旧計画、インシデント対応基準などといった比較的オペレーションに重きを置いた内容であることが多い傾向にあるが、本講演で示唆されていたのは、サイバーセキュリティリスクを地政学的なエンタープライズリスクの一環としてトップマネジメントが理解し、自社にとって最適な戦略の策定や経営判断を行うことの重要性である。
昨今、世界各国の市場や拠点で事業展開するグローバル企業において、サプライチェーンを狙った組織的なサイバー攻撃による大規模なビジネス停止等の被害が実際に多く発生しており、当社がご支援する日系企業のお客様でも類似するインシデント事例が散見されている。こうした状況に対処するため、CISOやセキュリティ担当による経営層へのサイバーセキュリティ課題の提起、双方向の議論を通して、サイバーセキュリティ面での事業継続性をより確実に担保していくことが今後求められていくと考えられる。
How to Create a Breach-Deterrent Culture of Cybersecurity, from Board Down.
講演者:
Dana Linnet(President & CEO, The Summit Group DC)Andrzej Cetnarski(Chairman, CEO, Founder, Cyber Nation Central)
Marcus Sachs(Deputy Director for Research, Auburn University)
概要:
CISOが一般的に実施するサイバー関連の技術的対策・規制対応と、サイバー攻撃を実際に防ぐ上で本当に必要な対策とのギャップに関してパネリスト陣が議論をした。
サイバー犯罪の経済圏は米国・中国のGDPに次いで、今や世界3番目の規模。その被害額の総計は今後年15%ずつ増えていく見通しで、これはサイバーセキュリティ市場や米国企業の平均EBITDAの成長率よりも高いとのことである。そのため適切なセキュリティ投資を行わない場合、米国企業は統計的に次の12か月で平均180万ドルの被害につながるとの試算がでているとの紹介があった。
また、近年の調査結果によると、サイバー侵害を検知するのには平均7か月かかっており、被害の原因のうち、規制要件への対応や技術的な対策が不十分であることに起因したものは僅か3%のみであり、97%は役職員等によるセキュアではない振る舞いが原因である旨の解説が行われた。
パネルディスカッションの結論として、企業がサイバー侵害を防ぐためには、教育・啓蒙活動を通して役職員等がセキュアな振る舞いを身に着けられるような組織風土の醸成が必要で、これはCISOというよりもCEO等トップマネジメントのミッションであるとの課題提起がなされていた。
当社コンサルタントの見解:
一般的にサイバーセキュリティ対策を検討する際、最新の技術的な対策(Technology)の導入に軸足が置かれがちな傾向がある。しかし、それだけでは不十分であり、CEOからのトップダウンで役職員等の関係者(People)を巻き込み、適切な企業風土(Culture)を醸成することが必要であるとの見解が本講演では紹介されていた。
講演者の見解の通り、導入した技術的なサイバーセキュリティ対策の効用を十分に高める上でも、組織体制面での対策やその下支えとなるセキュリティルールの整備は不可欠であると考えられる。また、一連の対策を網羅的かつ継続的に推進するには、必要な予算・リソースの確保や関係者との適切な合意形成が求められることから、CEOをはじめとした経営層からのトップダウンでの指示を通して社内のセキュリティ意識の啓蒙を図っていくこと(そのようにCISOや情報セキュリティ担当から働きかけること)が重要と考えられる。特に日系企業の場合、こうした経営トップダウンでの施策推進が米国に比べ弱い傾向にあることから、そもそものセキュリティ対策の必要性を経営に向けて根気強く説明し、理解を得ることが第一歩となる。
Do Better: Board-Level Accountability in Cybersecurity
講演者:
Chris Hallenbeck (CISO, Tanium)Greg Silberman(Associate General Counsel, Zoom Video Communications)
Brian Stafford(CEO, Diligent Corperation)
Maggie Wilderotter(Chairman & CEO/Board Chair, Grand Reserve Inn/DocuSign)
概要:
昨今の取締役会がCISOや情報セキュリティ担当に対して何を求めているかについて、サイバー/法律/企業戦略の専門家のパネリスト陣が議論した。
多くのCISOや情報セキュリティ担当が陥りやすいミスであるが、取締役会はサイバーセキュリティの技術的な詳細に関する報告を求めているわけではない。また、取締役会はわかりやすく目に見えるサイバー攻撃の発生有無に意識が向きがちな傾向にある。そのため日常のコミュニケーションが不十分な場合、CISOや情報セキュリティ担当はインシデント発生時にスケープゴートにされやすい旨の課題提起がなされていた。
そのためCISOや情報セキュリティ担当は、最新のセキュリティリスクや経営への影響等について、常日頃から対話する機会を設け、わかりやすい言葉で取締役会を啓蒙していく必要がある。決して、40-50ページにわたる膨大なパワーポイント資料を送ることはせず、「自社の顧客にとってどんな影響があるのか」を中心に重要な点を4~5点に絞って伝えるのが望ましい旨のアドバイスがMaggie氏よりあった。
当社コンサルタントの見解:
本講演では、CISOや情報セキュリティ担当が取締役会などトップマネジメントとコミュニケーションを行うにあたっては、自社の置かれたビジネス環境、リスク、今後の見通し、必要なリソース・コストといった「経営の言語」を用いる必要があるとの見解が紹介されていた。
企業の経営層が日々直面する経営アジェンダは多岐にわたり、当然ながらサイバーセキュリティはその一部に過ぎないが、昨今のサイバー攻撃の高度化や複雑化に伴い、横断的かつスピーディなセキュリティ施策の導入判断が必要な局面はどの企業でも増えてきている。
各社において合理的な経営判断や投資の意思決定等を促進する上でも、CISOや情報セキュリティ担当が経営の目線にたったプレゼンテーションを行う工夫が求められてくると考えられる。なお日系企業の傾向として、他社でのインシデントをきっかけにセキュリティ対策が実施されるケースが多いことから、例えば自社の業界内で発生したサイバー攻撃の事例(被害金額・ビジネス影響など)を他山の石として、経営に対して対策の必要性を説明することも有効な手段の一つである。
Avoiding the Four Biggest Mistakes That Will Blow Up an M&A
講演者:
James Christiansen (VP CSO, Netskope)
概要:
企業買収時に陥りがちな情報セキュリティ上の4つのミスをどのように回避できるかについて、NetskopeのVP CSOによる解説が行われた。
具体的には企業買収時には、主に次のようなサイバーセキュリティ上のミスに気を付ける必要があるとのことであった。
- (1)セキュリティアセスメント等の事前確認が不十分なことによってセキュリティ上の不備を保有してしまうミス
(2)財務情報、顧客データ等の機密情報の取り扱い方針が両社間で揃っていない等の理由で、気づかない情報漏えいリスクを抱えてしまうミス
(3)重複したセキュリティソリューションによって想定以上の費用が掛かってしまうミス
(4)両社の保有するアプリケーション、クラウドサービスが十分に事前把握できていないことで、統合後の資産保護が不十分となってしまうミス
上記に加えて、こうしたミスを回避する上では、可能な限り早い段階でセキュリティチームが買収先企業のセキュリティ評価に関与することが重要である旨の助言がなされていた。
当社コンサルタントの見解:
James氏からは、「昨今では”過去にサイバーセキュリティインシデントが発生したことはあるか?” というシンプルな質問への回答次第で企業価値の評価に影響がでてしまうこともある。」との見解が述べられており、企業買収時におけるサイバーセキュリティリスクへの対応の重要性が伺える講演内容となっていた。
企業買収時のように自社に別組織が統合される局面では、新たな役職員に加えて、それまで自社にないシステム、データ、ポリシーやプロセス、ひいては企業文化自体が持ち込まれることになる。セキュリティ観点では、それまで自社になかった新たなセキュリティリスクを抱えてしまう可能性が懸念されることは言うまでもない。
James氏が提言するように、統合後における円滑なセキュリティ管理を実現する上では、可能な限り早い段階でのセキュリティリスクのアセスメントと可視化が望ましいと考えられる。こうしたアセスメントの際には、情報システムやセキュリティツールといった技術的な観点でのアセスメントだけではなく、セキュリティルールや情報資産の管理体制、従業員のセキュリティアウェアネス等のガバナンス観点での確認にも留意したい。
NIST Cybersecurity Framework v2.0: What’s changing?
講演者:
Kelly Hood(Cybersecurity Engineer, Optic Cyber Solutions)
Greg Witte( Cybersecurity Engineer, Palydin, LLC)
概要:
改訂を控えるNIST Cybersecurity Framework(CSF)について、従来のv1.1から改訂版であるv2.0への移行に至った背景や、改訂のポイントについて紹介されていた。
CSFは包括的なフレームワークだが、作成から現在に至る10年において、サイバーセキュリティの世界においては技術・リスク共に大きく変化してきた経緯がある。こうした変化に対応しながら利用者がより効率的にサイバーセキュリティ上の課題に対応できるようにすることが、今回の改訂理由であると説明されていた。最新のCSFは2024年冬に公開される予定とのことである。
新たなCSFの大きな変更点として、Functionに「Governance」が追加されることが紹介されており、それに伴いカテゴリ全体も再編予定とのことだった。また、サイバーセキュリティ観点でのサプライチェーンのリスク管理に関して、その重要性を踏まえた内容に更新されることも強調されていた。
当社コンサルタントの見解:
NIST CSFは、企業におけるセキュリティ対策において採用されるケースが非常に多いフレームワークであることから、関連するテーマの講演会場には多くの聴講者が訪れており、カンファレンス参加者の関心の高さが伺えた。
今後の改訂で、NIST CSFの利用者にとってはなじみ深いと考えられる「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つの機能(Function)が改訂され、「Governance」の追加が検討されている。NISTが公開するドラフトによると、本機能には「Organizational Context」「Risk Management Strategy」「Roles and Responsibilities」「Policies and Procedures」といったカテゴリが紐づいている模様である。
これらの新カテゴリが示唆する、「自組織の置かれた状況を正しく把握した上でのリスク対応戦略の策定」「戦略を達成するための役割・責任の定義、ポリシー・規程類の整備」といった一連の要件は、企業のセキュリティガバナンスを構築する上での基盤となる重要な内容である。将来的に統制のとれたセキュリティ対策を実装しながらセキュリティ水準の維持・向上を図っていくうえで、改めて留意していくことが望ましい。
おわりに
本カンファレンスにて議論されていたテーマを「サイバーセキュリティ経営」の観点でまとめると、次のような示唆が得られると筆者は考える。
- 昨今では、国際情勢の緊迫化等に伴うサイバー犯罪の増加、法規制の動向、技術の発展、企業買収等の様々な環境変化によって、企業が対処すべきサイバーセキュリティリスクの性質が複雑化していく傾向にある。
- 今後企業がサイバーセキュリティ上の課題に適切に対処していくためには、情報セキュリティ担当部門だけでなく、取締役会等トップマネジメントを巻き込んだ意思決定、戦略策定、トップダウンでの指示がより一層求められる。換言すると、従来CISOや情報セキュリティ担当中心に実施されてきた個々のセキュリティ対策に加えて、経営課題の一環として全社的なセキュリティガバナンスの構築を推進する必要性がこれまで以上に高まっていると考えられる(代表的なセキュリティフレームワークであるNIST CSFの改訂予定も、こうしたトレンドが一部背景にあるのでは、と筆者は推察する)。
- 各企業にとって最適なセキュリティガバナンスを構築する上では、CISOや情報セキュリティ担当が自社のサイバーセキュリティ上のリスクや課題を経営層に対してより密にコミュニケーションし、双方向の議論を経て対策の方向性を定めていくことが求められており、そのためには経営目線に立ったコミュニケーション上の工夫が必要である。
こうしたサイバーセキュリティの経営課題化のトレンドによって、各社のCISOや情報セキュリティ担当に求められる知見やスキル、業務の性質は、今後さらに広範かつ高度なものになっていくと筆者は考える。
しかしながら一方で、どの業界においてもセキュリティ人材の不足が叫ばれる昨今、必要な専門性を備えたリソースの確保がうまく進まず、全社的なセキュリティ対策の推進に不安を感じるお客様も多い。加えて日本では、米国企業のように経営からのトップダウンでセキュリティ施策を浸透させるアプローチが一般的でなく、そもそも経営層に対してセキュリティの重要性を理解してもらうこと自体が困難な状況にあるお客様も散見される。
当社では、こうしたグローバルでのセキュリティガバナンスの構築や最新のセキュリティ動向を踏まえた経営層とのコミュニケーションのサポートなど、「サイバーセキュリティ経営」のテーマにおいても幅広いご支援の実績があるため、セキュリティのお悩みがあれば、ぜひお気軽にご相談いただきたい。
