今こそ、関係の再構築に乗り出す時
59%サイバーセキュリティ部門とビジネスラインの関係について、「中立的」、「信頼していない」、あるいは「関わり合いがない」と回答した組織の割合
- 74%の組織が、サイバーセキュリティ部門とマーケティング部門の関係について、「中立的」、「信頼していない」、あるいは「関わり合いがない」と回答しました。R&D部門および各ビジネスラインとの関係性についても同様であると回答した組織はそれぞれ64%と59%でした。さらに、予算執行権限において深く関わり合いがある財務部門とも関係が薄く、十分な信頼関係が築けていないと57%の回答組織が感じています。
- 回答組織の半数近く(48%)が、サイバーセキュリティリスクに対する取締役会の理解不足を指摘しています。また、43%の組織が、取締役会はサイバーセキュリティチームの任務の重要性や必要性を十分に認識していないと回答しました。
- 「EY Global Board Risk Survey」の調査で、取締役は自社のサイバーセキュリティ対策に自信を持っていないことが明らかになりました。「自信がない」または「少し自信がある」と回答した取締役は50%にのぼりました。
- 取締役会の議題としてサイバーセキュリティを定期的に取り挙げている組織は54%にとどまりました。
- 10社中6社の組織が、サイバーセキュリティ関連の支出やその投資効果を定量化して取締役会に示すことができないと回答しました
3. 変革の推進者としてのCISO
CISOは、事業部門や取締役層との連携を強化して、組織が抱えるビジネス上の喫緊の課題に対する理解を深め、まだ気づいてすらいないサイバー脅威を予測することができれば、組織のビジネス・トランスフォーメーションにおいて重要な役割を担うことができるでしょう。
そのためには、新しい考え方や、コミュニケーション力、交渉力、連携力など、新たな能力が必要です。新しい取り組みに対して頭から否定・反論するのではなく、いったん納得・賛成してから自身の考えを述べる「そうですね、ただ...」といった形でコミュニケーションをとることができるCISOは、変革の推進者になることができるでしょう。
関連記事
サイバーセキュリティ機能はイノベーションの足かせとなるという見方が依然として主流
7%サイバーセキュリティを「イノベーション実現の鍵」だと捉えている組織の割合。「コンプライアンス主導」や「リスク回避」と捉えている組織が依然多数を占めています。
- サイバーセキュリティをイノベーション実現の鍵だと捉える組織は7%にとどまり、大部分の組織が「コンプライアンス主導」や「リスク回避」だと認識しています。
- 回答組織の半数近く(48%)が新規予算の支出先は「リスク軽減」だと答え、「コンプライアンス要件」と回答したのは29%でした。一方、「新規ビジネスの実現」と回答した組織は9%にとどまりました。
- 回答組織の10社中6社が、サイバーセキュリティの責任者は取締役会メンバーあるいは執行役員ではないと答えました。
EYの主な推奨事項
本年度のGISSの結果は、今こそ、サイバーセキュリティをビジネストランスフォーメーションやイノベーションの中核に位置づける時であるということを明確に示しています。これを実現するためには、取締役会、上級管理職層、CISO、全ての事業部門のリーダーが一丸となって取り組むことが不可欠です。以下、EYが推奨する取り組みポイントを5つご紹介します。
- サイバーセキュリティをデジタルトランスフォーメーションの実現の鍵にする — 全ての新規ビジネスプロジェクトの企画・設計段階からサイバーセキュリティを組み込む。「セキュリティ・バイ・デザイン」のアプローチを活用して、ビジネストランスフォーメーションや、製品やサービス設計におけるセキュリティリスクを、後付けではなく企画構想段階からコントロールする。
- 組織内のあらゆる部門と信頼関係を構築する — サイバーセキュリティチームと共に主要なビジネスプロセスを分析し、サイバーリスクがもたらすインパクトや、事業部門の取り組みを強化するためにサイバーセキュリティチームがどのようなサポートを提供できるのか理解する。
- 成果を生み出すガバナンス体制を整える — 経営層および取締役会に対してリスクにフォーカスした報告をする際に引き合いに出すKPI(主要業績評価指標)およびKRI(重要リスク指標)を設定する。
- 取締役会の関与・理解を高める — 取締役会が明確に状況を理解できるように説明する。サイバーリスクについて、より効果的に説明できるよう、サイバーリスク定量化プログラム研修を実施する。
- CISOが新たに必要なコンピテンシーを分析するために、サイバーセキュリティ機能の有効性を評価する — CISOが戦略を練り直すべきエリアを特定するために、サイバーセキュリティ部門の強みと改善すべき点を洗い出す。
サマリー
EYの本年度のGISSにより、ビジネスとサイバーセキュリティの間には、コンプライアンスの観点から必要な場合を除き、大きな壁があることが明らかになりました。この壁を取り払うためには、まず、CISOが取締役や経営幹部に対してサイバーセキュリティチームの取り組みが事業活動に有益であるということを実感してもらえるように説明する必要があります。そして、事業部門も、サイバーセキュリティを各ビジネスプロジェクトの企画・設計段階から全ライフサイクルを通して組み込むことが不可欠です。