19 分 2021年9月30日

            未来の波を再構築する

サイバーセキュリティ:最悪の波をどう乗り越えるか

執筆者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

19 分 2021年9月30日

2021年EYグローバル情報セキュリティサーベイの結果、新型コロナウイルス感染症(COVID-19)でもたらされた新たな脅威の波とCISOやセキュリティリーダーとの戦いが顕在化しました。

要点
  • サイバーセキュリティへの圧力:81%のエグゼクティブが、新型コロナウイルス感染症によって本来のサイバーセキュリティプロセスを省略せざるを得なかったと回答している。
  • 浮かび上がる3つの課題:予算不足、法規制の複雑さ、組織内でのコミュニケーション問題。
  • CISOがセキュリティ・バイ・デザインのアプローチで課題の克服に取り組むことができれば、その取り組みは新型コロナウイルス感染症の回復期で成長を実現させる成功要因となる。

2021年EYグローバル情報セキュリティサーベイ(GISS)では、新型コロナウイルス感染症による危機がサイバーセキュリティに壊滅的かつ多大な影響を与えたことが明らかになりました。また、サイバーセキュリティ部門が、ビジネスにおいて、成長要因や戦略的バートナーの機能を担おうとしていることも示しています。

1000人以上のシニア・サイバーセキュリティ・リーダーを対象にグローバル規模で調査した結果、CISOとセキュリティリーダーが不十分な予算や法規制の細分化に悩まされ、セキュリティを最も必要とする部門との妥協点を見いだせずにいることが分かりました。

実際、世界的なパンデミックがもたらした大変動により、「最悪の波(脅威の要因となる攻撃を誘発する条件が次々と生じる最悪の状態)」が生まれています。2020年のGISSレポート以降、破壊的で巧妙な攻撃が大幅に増加していますが、その多くは、企業がビジネス全体にセキュリティ・バイ・デザインを組み込んでいれば回避できたものです。

また、CISOと事業部門との関係には以前よりもストレスが多くなっており、その結果、サイバーリスクにさらされる可能性が高まっています。さらには予算の制限により、CISOはニーズと予算のギャップを埋めることに苦労しています。

この状況は最終的には回復する見込みですが、一時的には悪化すると予測されます。企業はポストコロナ時代に向けて、テクノロジーとイノベーションへの投資を検討しています。今後の大規模なディスラプションに備えてレジリエンスも確保する必要がありますが、多くの企業は、パンデミック時のトランスフォーメーションの中で先送りされたリスクや潜在的脆弱性に、いまだ対処できずにいます。

CISOは今、岐路に立たされています。複雑で消耗する喫緊の課題に対処するには、迅速に行動しなければなりません。以下の章で、サイバーセキュリティリーダーが現在の業務環境について今知っておくべきことと、それを変革するために成すべきことを概説します。

調査の概要

.


            サーフィンで波に乗る男性
(Chapter breaker)
1

第1章

岐路に立つCISO

ストレス、変化、チャンスの時

この1年間、あらゆる企業が何らかの形でディスラプションに適応しなければなりませんでした。先進的な企業は、少し前までは考えられなかったスピードで新しい顧客対応技術やクラウドベースのツールを導入し、リモートワークを促進して、市場へのチャネルを維持しました。

しかし、この変化のスピードには大きな代償が伴いました。多くの企業では、単に見過ごしたのか、あるいは非常に迅速な行動が求められたからか、意思決定プロセスにサイバーセキュリティが組み込まれませんでした。その結果、ただでさえ変化の激しい環境に新たな脆弱性が入り込み、現在もビジネスを脅かし続けています。

急激な変革がもたらす新たなリスク

本稿執筆時点では、CISOとそのチームは、自社に導入した新しいテクノロジーが会社の防御力に与える長期的な影響について、まだ十分な評価を完了させていない可能性があります。しかしその間にも、社員たちはこの技術を使い続けていることでしょう。

「リモートワークの緊急性を受けて、これまで社内のみで完結していたシステムを初めてオープンにするにもかかわらず、その過程でセキュリティが見落とされてしまいました」と、EY Asia-Pacific Cybersecurity Risk Consulting LeaderのRichard Watsonは振り返ります。「過去にさかのぼってこれらの問題に対処する必要がありますが、全ての企業がこのことを認識しているわけではありません」

しかし、問題を見過ごすことでもたらされるリスクは非常に高く、対処すべき緊急性もますます高まっています。今年のGISSでは回答者の4人に3人以上(77%)が、過去12カ月間にランサムウエアなどの破壊的な攻撃が増加していることを警戒しています。一方、その前年度で増加を認識したのはわずか59%でした。

こうした状況にもかかわらず、CISOはサイバーセキュリティの重要性を周知するのに苦労しています。回答では半数以上(56%)が、経営陣が緊急の戦略的意思決定を行う際に、サイバーセキュリティチームは相談を受けない、あるいは相談を受けるのが遅すぎることを認めています。攻撃により深刻な事態が引き起こされることは「それほど頻繁に起こるものではない」という意見もありますが、防御の欠陥が一度でも突かれてしまえば、攻撃者に悪用されてしまいます。

GISS Figure 2

その結果生まれるのは、将来への不安です。「私たちは、セキュリティ保護における成功要因として、安全を確保しようと努力しています」とRichard Watsonは述べています。「しかし、プロジェクト実行直前にセキュリティチームに丸投げする組織もまだまだあるのです」

最悪の場合、CISOは警告を無視されることになります。今年のGISSでは、43%が、サイバー脅威管理能力についてかつてないほど懸念していると答えています。しかし、そうでないケースも存在します。

TikTok ~ セキュリティ・バイ・デザインとスピード

ショートビデオとエンターテインメントのプラットフォームであるTikTokのGlobal Chief Security Officer(CSO)を務めるRoland Cloutier氏は、戦略的意思決定に週単位で深く関与し続けています。「ユーザー増加戦略から、新種のマネタイズや音楽製品に至るまで、多岐にわたる意思決定に関わっています」とCloutier氏は述べています。「全てにおいて新しい技術の構築と提供が関わります。まず既存や未知の脅威の影響を理解することに重点を置き、製品開発において、セキュリティ・バイ・デザイン、プライバシー・バイ・デザインと迅速な開発を実現します。そして新しい情報に対応できるように組織を整えます。インターネット上のユーザーの行動様式のスピードに合わせてこれらを実現する、それがこの仕事の面白いところです」

新たな成熟レベルに達した攻撃者

過去1年で、企業を標的とし、従業員に悪意あるソフトウエアを転送させるフィッシングや、商用ソフトウエアにバックドアコードを埋め込み、顧客が購入した後に有効化して悪用するなど、攻撃者は新たに採り入れる戦略の数をますます増やしています。

実際に、かつてないほどの脅威が判明しています。それを促進しているのがランサムウエアのビジネスモデルであり、非常に効果的であることが分かっています
Dave Burg
EY Americas Cybersecurity Leader

危険は最大級のレベルに高まっています。2021年5月に米国Colonial Pipeline社のパイプライン操業を停止させたハッカーが使用したのは、ダークウェブを介して誰でも入手できるランサムウエア・アズ・ア・サービスでした。このことは経済や社会全体で重要な役割を担う多くの企業が危機にさらされていることを示しています。また、2020年には、SolarWinds社が数カ月間にわたり高度なサプライチェーン攻撃によりシステムへの侵入を受けましたが、セキュリティチームのほとんどはこの攻撃に関する知識がありませんでした。

攻撃者の標的となる領域は拡大しており、その戦術はますます予測不可能なものになっています。サプライチェーンの堅牢性と盤石性を適切に保つ能力に自信があると答えたのは、回答者の3人に1人にとどまり、調達部門や業務部門と緊密に協力し合うことの重要性が浮き彫りになりました。攻撃者が使用する戦略を把握・予測できると答えたのは半数以下(47%)でしたが、これは攻撃者の侵入を受けたソフトウエアが、後に顧客に販売される事案に象徴されています。

急速な変革の必要性がなくなったわけではありません。本稿執筆時点では新型コロナウイルス感染症への対応は大きく前進していますが、ビジネスがどのような形であれ「ノーマル」に戻るまでには、いくつかの段階にわたって危機を経ることになります。

例えば、雇用主は回復しつつある経済の中で成長への道を切り開きながら、ハイブリッドなワークモデルの支援を目指しています。最近のEYの2021年Work Reimagined 調査では、回答者の54%が、自分が求めている柔軟な働き方を雇用主に拒否された場合、退職を検討すると考えています。CISOは、従業員の半数(48%)が新しいホームオフィステクノロジーへの投資を希望していることにも留意する必要があり、これをセキュリティ・バイ・デザインを採用できないまま推し進めた場合には、さらに多くのリスクにさらされる可能性が生じます。

CISOに集まる注目

CISOは重要な局面を迎えています。EYの2021年CEO Imperative Studyによると、68%のCEOが今後12カ月間にデータやテクノロジーへの大規模な投資を計画しています。ここでCISOがデジタルトランスフォーメーションを計画段階からサポートすることができれば、彼らは真の意味で事業の成長を支援する戦略的役割を担うことができます。CISOが変革に向けてより積極的な役割を果たせなければ、セキュリティに降りかかる脅威は加速し、社内のステークホルダーの中での彼らへの評価は下落するでしょう。

シニアリーダーたちは、セキュリティ部門の組織防御能力について、すでに懸念を抱いています。回答では半数以上(55%)が、現在サイバーセキュリティは、これまでよりも厳しい監視の対象になっていると答えています。サイバーセキュリティを四半期ごとに取締役会の議題としている企業は10社中4社(39%)で、2020年の29%から増加しています。

それにもかかわらず、EYの2021年Global Board Risk Studyでは、社内で提示されているサイバーセキュリティリスクとその軽減策に関して、大規模なサイバー攻撃からの組織防御能力に強い自信を示した取締役はわずか9%で、昨年の20%から減少しています。

総合商社で新規事業投資、計数管理、海外事業会社の経営管理に従事した後、2019年にEYトランザクション・アドバイザリー・サービス株式会社に入社。現在はリード アドバイザリーにおいて、国内外のクライアントに対しコンセッション事業に係る入札支援、再生可能エネルギー発電所の売却支援、および事業会社のインフラ投資戦略検討支援など、多様なアセットタイプならびに広範なテーマのアドバイザリー業務に従事している。

GISS Figure 5

危機の中にあるチャンス

リスクを軽減しながら、同時にビジネスの成長とテクノロジーへの意欲を高めることができれば、CISOの未来は明るいと言えます。回答では多くがこのことを認識しており、57%が、今回の危機がサイバーセキュリティの認知度を高める機会になると考えています。

Dave Burgは、CISOに対して、危機によって高まった可視性を最大限に活用するよう求めています。「社内のキーパーソンとして認識されていたCISOを私は何人も知っています。彼らにイノベーションの最前線に立ってほしいと思っています」

では、CISOは事業の成長を支援する新たな役割をつかみ取る準備はできているのでしょうか。次の大きなビジネスディスラプションに備えて、レジリエンスを組み入れることができるでしょうか。その答えは「イエス」でなければなりませんが、それにはまず、彼らの行く手を阻む、相互に関連付いた3つの重大な課題に取り組むことが必要です。

  1. 資金や柔軟なサポートがこれまで以上に必要な時期に、サイバーセキュリティの組織が深刻な資金不足に陥っている。
  2. 法規制の細分化により負担が増加し、追加の業務や新たな人材確保の課題が生じている。
  3. より強固な関係が最も必要とされるときに、サイバーセキュリティと他部門との関係が悪化している。

            サーフボードを持って海に向かう女性を横から見たところ
(Chapter breaker)
2

第2章

CISOに立ちはだかる3つの課題

サイバーセキュリティの最悪の波

1. 今日のサイバーセキュリティ組織は、深刻な資金不足に陥っている

サイバー攻撃の脅威が増大しているにもかかわらず、IT全体の支出に対して、サイバーセキュリティの予算は低く抑えられています。また今回の調査データでは、新型コロナウイルス感染症の拡大による不安定な状況や将来のディスラプションに対応する敏しょう性が求められていながら、予算配分プロセスの大部分が柔軟性に欠けていることも示唆されています。

Kris Lovejoy

現在の予算割り当てのモデルは、実際に存続の危機に関わるようなリスクに対しては不十分です。これはまた、多くの企業がサイバーセキュリティの課題を十分に理解しておらず、セキュリティ・バイ・デザインの思想を導入できていないことの表れでもあります。

ニーズと一致しない予算

本レポートの作成にあたり、EYはサイバーセキュリティ責任者へのインタビューを実施し、さらに1010人のシニアサイバーセキュリティ専門家に個別に調査を行いました。調査に回答した企業の昨年の売上高は平均で約110億ドルであったのに対し、年間のサイバーセキュリティへの支出額は平均でわずか528万ドル(全体の0.05%)でした。

GISSの回答によると、状況はセクターごとに異なります。極端な例として、規制の厳しい金融サービスと、TMT(テクノロジー、メディア・エンターテインメント、テレコム)セクターでは、企業が昨年サイバーセキュリティに費やした金額は、それぞれ平均943万ドルと962万ドルでした。一方、その対極では、エネルギー関連企業の平均支出額は217万ドルにとどまりました。企業規模によっても違いがあり、小規模な企業ほど支出の割合が大きくなっています。

            GISS 図表6

ここで、予算をどのように計画し、どのように配分するかが問題となります。10人中約6人(61%)の回答者が、セキュリティ予算はITなどのより大きな経費の一部に組み込まれていると述べており、19%が予算は固定かつ定期的に決められていると答えています。3分の1以上(37%)が、サイバーセキュリティのコストを企業全体で分担していると回答していますが、リソースの使用状況に応じて柔軟に分担しているのは15%にすぎません。

言い換えれば、セキュリティ予算をビジネス遂行上の変動的かつ偶発的なコストとして定義している組織はほとんどありません。実際、急速に進化する個別の事業において、セキュリティ部門の取り組みを拡大することは、CISOにとって難しい課題となるかもしれません。

コスト削減で生まれる新たな弱点

CISOは、柔軟性に欠けた不十分な予算が原因で自社が直面している脆弱性を痛感しています。

資金不足により、侵害のリスクが生まれています

36%

の回答者が、投資によって回避できたはずの侵害を受けることになるのは時間の問題だと考えています。

回答では、10人に4人(39%)が、ITサプライチェーンの変革などの戦略的投資のコストにサイバーセキュリティの費用が十分に考慮されていないと指摘しています。また、3分の1以上(36%)が、サイバーセキュリティ対策にもっと適切な投資をしていれば回避できたはずの重大な侵害に遭うこと、そしてそれは時間の問題だと答えています。

ディスラプションに直面した企業が業務の変革を急ぐ現状を考慮すると、成長をけん引するための投資が進められる中で、この問題が深刻化することが予想されます。回答者の10人に4人(39%)が、組織の予算は過去12カ月間に発生した新しい課題への対処に必要な額を下回っていると懸念を示しています。

予算制限による避けがたい結果として、CISOは難しい決断を迫られ、新型コロナウイルス感染症危機以前に進めていた戦略的活動の一部を縮小せざるを得なくなります。予算が不足している企業の半数以上(56%)が、サイバーセキュリティ要件を再調整しなければならなかったと答えています。また44%が、やむを得ず既存のアーキテクチャーやシステムに注力することでコスト削減を図ることになったと回答しています。

            GISS 図表8

しかし少数ではあるものの、サイバーセキュリティの予算に対し、より戦略的なアプローチをとっている企業もあります。世界有数の保険会社であるAssicurazioni Generali社のGroup Chief Security OfficerのRemo Marini氏によると、同社はサイバーセキュリティの予算組みにリスクベースのアプローチを採用しています。「私たちは、セキュリティへの投資とビジネスの価値、リスクの低減を直接結びつけています」とMarini氏は述べています。「当社の予算は、3年先を見据えた戦略の定義から始まり、社内外の全ての関連ステークホルダーから見解を集めた緻密な計画策定を踏まえたものです」

2. 法規制の細分化によるCISOの負担増

法規制は地域や国レベルで管理されるようになり、世界のコンプライアンスを取り巻く環境は複雑化の一途をたどっています。さらに金融サービスをはじめとする特定のセクターの企業では、業界固有の法規制にも対応しなければなりません。

EY EMEIAのCybersecurity Consulting LeaderであるMike Maddisonは、法規制がますます悩みの種となっていると考えています。「国際的な企業であれば、特に情報がどこからでもアクセス可能で、国際間を飛び交うようになるにつれ、重複し、時には矛盾する法規制をいかに管理するかが課題となります」

貴重な時間とリソースの浪費

法規制は本来割く必要のない時間をCISOから奪っています。調査では2人に1人(49%)が、業務の中でコンプライアンスの確保に最もストレスを感じると回答しています。10人に6人(57%)は、今後数年間で法規制はより雑然とし、時間がかかり、混沌とも言える状態になると予測しています。必要なリソースの確保に四苦八苦するCISOに、大きなストレスがかかるのは当然です。

「国内外の規制当局が重点を強化している中、法規制に関する課題は日々山積しています」とAssicurazioni Generali社のMarini氏は言います。「特に国際的な企業グループに困難をもたらす法規制が増加しています。標準化された共通の枠組みがあれば、より効率的になるはずです」

            GISS 図表9

また、米国司法省はランサムウエア攻撃をテロと同等の優先度に引き上げ、米国政府のタスクフォースを通じて捜査を調整しており、少なくとも米国ではこれも新たな懸念材料となっています。本稿執筆時点では、攻撃の被害に遭った民間セクターの企業や組織にどのようなリソースが提供されるかは不明です。

予算の味方から敵へと変貌するコンプライアンス

CISOのコンプライアンスに対する考え方には根本的な変化があり、規制当局との関係に憂慮すべき影響が出ています。CISOは昨年のGISSの時点ではコンプライアンスの役割について肯定的だったものの、今年の調査では本質が変わったと認識しています。コンプライアンスはあまりにも細分化、複雑化しており、もはや阻害要因だと捉えられるようになりました。CISOの味方ではなくなり、以前のように予算を正当化する上で役立つこともなくなりました。今やコンプライアンスはCISOにとって敵となっています。

さらに今年の調査からは、法規制が企業のサイバーセキュリティ水準の向上を支えていることに、CISOが確信を持てなくなっていることが分かります。

昨年のGISSでは、コンプライアンスはビジネスにおける行動を適正化させると考える回答者は46%でしたが、2021年には35%まで低下しています。また、経営陣に追加予算の必要性を訴える上で法規制が有効な手段であると回答したのは5人に1人以下(18%)で、2020年の29%から減少しています。

シニアエグゼクティブは、サイバーセキュリティに絡む支出の増加を変革に結び付けるビジネスケースに以前よりも敏感に反応するようになったと言えますが、コンプライアンス対応のための負担増に関してCISOが発する警告へは反応が鈍くなっているようです。

全てのサイバーセキュリティリーダーが、法規制に対して悲観的な見方をしているわけではありません。TikTokのRoland Cloutier氏は、法規制のために自分の時間の「50%か60%以上」を費やしていると述べていますが、全体としては前向きな姿勢を示しています。「当社の戦略的セキュリティプログラムは、法規制を考慮し、消費者を保護することを中心としており、次世代の要求事項を踏まえた内容となっています。これは素晴らしい取り組みです。自社の製品が未来に対応できるように準備を整えているからです。私たちはこの取り組みを通して、世界中のユーザーの安全、安心、プライバシーの確保に専念する企業としての事業運営の在り方について、業界をリードするコンセプトを生み出しています」

3. サイバーセキュリティと他部門のリーダーとの関係悪化

戦略的変革に伴うサイバーリスクを管理するために、CISOは投資の意思決定の最も初期の段階で助言を送る必要があります。しかし、サイバーセキュリティと他部門の関係には、そうした助言を行うために不可欠な積極性と強固な結びつきが不足しています。

CISOを排除するビジネスリーダー

この関係性の希薄という問題は以前からCISOの悩みの種でしたが、今年のGISSでは、それがより顕著になっていることが明らかになりました。調査によると、ビジネスリーダーはサイバーセキュリティチームを重要なディスカッションから排除しています。約10人に6人(58%)が、サイバーセキュリティによる適切な評価や監督が不可能なスケジュールで新しいテクノロジーが導入されるケースがあると答えています。

EYのGlobal Consulting Technology LeaderであるDan Higginsは、CISOが新しいテクノロジーやデータソリューションの導入プロセスに関与するのが遅い段階からであることを問題視しています。「CISOは、これらのリスクに積極的に対処し、回避できる段階、つまりデジタルトランスフォーメーションに戦略とソリューションの構築段階から参加することが不可欠です」

この傾向は、企業のトップの動向が引き起こしている可能性があります。EYのCEO Imperative Studyで、CEOは、2020年に最重要関心事項に含めていたサイバーセキュリティを2021年には除外してしまいました。それに代わって、2021年では新しいテクノロジーの導入に向けた課題に焦点が当てられています。

パンデミックが事態を悪化させています。81%の企業がサイバープロセスを怠り、新規事業の計画段階でサイバーセキュリティチームに助言を求めていませんでした。

「コロナ禍で生じた流動的な環境では、スピードが強く必要とされたため、ビジネス部門はサイバーセキュリティチームのスキルが適切なものかを疑問視しました」とMike Maddisonは述べています。「これまでのやり方は正しかったのだろうか。つまり、サイバーセキュリティチームは効果的なソリューションの提供者なのか、それとも進捗を遅らせる妨害者なのか。こうした疑問に明確な答えが出ない場合は、サイバーチームを介さずに物事が進められました」

サイバーセキュリティチームの連携力は、強い協力関係が必要なところで最も弱い

サイバーセキュリティチームにとって最も深刻な問題となっているのが、これから数カ月の間に新しいクラウドベースのテクノロジーを導入・展開する部門、つまり、この先ランサムウエアをばらまく攻撃者の脅威にさらされるという重大なリスクを抱えることになる部門との協力関係です。

今年の調査では、マーケティング部門との関係を後ろ向きに捉えている回答は41%で、1年前の36%から増加しています。また、ビジネスオーナーとの関係が希薄だと答えたのは1年前の23%に対し28%でした。

その結果として、2020年の回答では3分の1以上(36%)が新規事業の計画段階でサイバーセキュリティチームに助言が求められていると答えていますが、2021年ではその割合は19%にまで低下しています。

            GISS 図表11

サイバーセキュリティチームのビジネス、製品開発、マーケティング部門との関係は後ろ向きであるのに対し、リスク、法務、IT部門との関係は前向きです。本質的に、サイバーセキュリティチームの関与が計画段階よりも後になればなるほど、そのプロジェクトを主導する部門とCISOとの関係が良好になりますが、ここに問題があります。成長を支える際に最も関与すべきところで、サイバーセキュリティチームが歓迎されていないのです。

コミュニケーションの断絶

チーム間のコミュニケーション不足は、前進の妨げになります。CISOは、⾃⾝のチームにサイバーコンサルテーションの必要性をビジネス部⾨に正しく認識される⾔葉で明確に説明させることは難しいと苦労を述べています。しかも、ビジネス部門はサイバーセキュリティについて、リスクコントロールなどの従来の強みを認識してはいても、必ずしも戦略的パートナーとして捉えているとは限りません。

「サイバーセキュリティのリスクを認識し、考え方を好ましい方向にシフトさせている経営陣を業界全体で目にしてきました」と、オーストラリアのNBN CoのChief Security OfficerであるDarren Kane氏は述べています(Kane氏はGISSには参加していませんが、本レポートのために行ったインタビューには参加しています)。「しかしCISOは、経営陣が潜在的なビジネスリスクをより適切に理解できるように、専門的な言葉を控えて説明し、コミュニケーションの壁を取り払う努力を重ねる必要があります」

回答者の半数以上(44%)が、所属するチーム内でのサイバーセキュリティに関する専門用語の理解は同レベルだと考えていますが、シニアリーダーが同じ⽤語を同等に理解できると思うと回答したのはわずか26%でした。また、経営幹部がビジネス部門に正しく認識される言葉でサイバーセキュリティを説明することができると回答したのは、わずか4人に1人(25%)にとどまっています。

他部門の多くが、サイバーセキュリティチームはあくまでもビジネスを守り、危機に対して迅速な対応を行う部門だと考えていると回答者は述べています。ビジネスの保護や危機への対応能力は素晴らしい資質ですが、コミュニケーション能力、説得力、そして信頼を築く能力もバランスが取れるようにすることが必要です。


            雷雲が広がる大平原のドラマチックな夕景
(Chapter breaker)
3

第3章

CISOの次のステップ

価値を提供するCISO

今年のGISSで示された主要課題に対して、CISOはどのように対応すべきでしょうか。彼らが組織の中でより戦略的かつ商業的な役割を果し、サイバーセキュリティチームを変革のイネーブラーとして再構築する必要があることは確かです。

「変革を進め、長期的価値を提供する企業の取り組みで中心となるのはCISOです」と、EY Global Vice Chair-ConsultingのErrol Gardnerは述べています。また、CISOが変革のイネーブラーとしてどのような立場をとるべきかについて、次のように付け加えています。「CEOはビジョン実現に向けて歩みを進め、テクノロジーを通したビジネス変革の成功を目指して取り組んでいますが、それに伴うサイバーリスクに目をつぶるわけにはいきません」

「同時に、サイバーセキュリティへの投資がもたらす価値を正しく理解し、それが変革の過程に不可欠な要素であることをCEOに認識させることも、CISOの責任です。CISO、CEOなど、その他のC-suite(経営幹部)の間での戦略的関係の構築に取り組むことは、変革プログラムの成功だけでなく、企業とそこで働く人々のためにサイバーセキュリティを確保しながら変革を実施することにつながります」

しかし、サイバーセキュリティ責任者が影響力を発揮し、拡大するサイバーセキュリティの役割に対して組織からより広い支持を獲得できるかどうかは、全く定かではありません。EYの2021年Global Board Risk Studyによると、10人中8人の経営陣が、リスクマネジメントの改善が価値の保護と拡大に不可欠であると考えていますが、現在のところCISOの貢献はあまり広く認識されていないようです。

CISOはビジネス部門における立場を強化するために3つの主要なアクションを検討すべきだと調査結果は示唆しています。それは、ビジネス部門との連携方法の見直し、人材スキルマップの見直し、4つの主要ステークホルダーに焦点を当てた取り組みです。

根底の思考プロセスに若干の進化があるものの、これらのアクションが2020年のレポートでEYが示した指針と一致していることは、注目すべき点です。この危機的時代における出来事は、EYが2020年に示した指針へ適切に対応することの緊急性と重要性をさらに強調していると言えます。

1. 真実を知る ~ ビジネス部門との連携方法の見直し

サイバーセキュリティチームは本来、能力を評価し、リスクを特定し、将来に向けたロードマップを描くことを最も得意としています。

CISOは、これまで弱点とされてきたサイバーセキュリティの要素に着目する必要があります。具体的には、ステークホルダーとの関わりの強化、主要ビジネス目標・目的との整合性の確保、セキュリティサービスの提供とパフォーマンスに対するビジネスパートナーの満足度といった評価を高めることに注力すべきです。

近年、CISOはビジネスパートナーとの関係が悪化しているため、他部門と協調して業務を行い、ビジネス目的に沿った戦略を追求するために必要な視野を失っている可能性があります。

            サイバービジネスとの融合

2. 人材スキルマップの見直し ~ 非現実的な期待はしない

調査で浮き彫りになった組織的課題や、最近注視されている巧妙な攻撃に対応するために、CISOは多様なスキルを持つ多才な専門家の力を必要としています。

問題は、今日のサイバーセキュリティで必要とされるスキルの幅が、多方面に一斉に拡大していることです。サイバーセキュリティでは人材の「標準的な」特性というものはありません。CISOが必要とするのは、高度な技術的スキルに加えて、部門間の関係構築能力を備えた人材、そして革新と成長への情熱を持ち、新たな脅威を検知し、防御の欠陥を発見できる人材です。

サイバーセキュリティは比較的新しい分野であるにもかかわらず、近年、多彩な特性を持つ責任者が登場してきました。以下に挙げるように、それぞれの特性に応じて独自の得意分野があり、ソフトスキルや専門資格を武器に、ビジネス変革の必要性を満たすために重要な役割を果たしています。

しかし、こうした才能を全て兼ね備えた人材を探すのは、ユニコーンを採用しようとするようなものです。それぞれに長所と短所があることを理解した上で、幅広い分野をバランスよく組み合わせたチームを作ることが、より優れたアプローチです。

今日のサイバーセキュリティ機能における複数の特性

サイバーセキュリティ責任者の特性 重点分野 長所 短所
セキュリティ専門家 セキュリティに関する全て 特定分野の深い専門知識 ビジネス的洞察力の欠如
テクノロジー支持者 技術ソリューションとツール 技術志向 孤立的な思考
リスクと規制の専門家 リスク、統制、コンプライアンス 規制が厳格なセクターに適している 技術的洞察力の欠如
事業部門出身者 事業統合 ビジネスコネクティビティ テクノロジーとセキュリティの洞察力の欠如
パートタイマーとジョブスプリッター サイバーセキュリティと他の主要な役割を分担 コスト削減 「多芸は無芸」
 

 

関係構築に関しては、CISOは、マーケティングやイノベーションおよびその他の関連ビジネスユニットとチームメンバーの接触を増やす必要があります。「サイバーチームは、人知れず企業ビルの地下にいる存在だと思われてきました」と、Darren Kane氏は言います。「しかし、今やサイバーリスクはあらゆる企業で最重要とされる業務リスクの1つであり、チームは地上に上がり、企業の他の部門との関わりを増やすべきです」

3. 全方向へのシフト ~ 新しいステークホルダーの羅針盤

「シフトレフト(Shift Left)」を採り入れたセキュリティ・バイ・デザインの原則を熟知しているCISOは、変革や製品開発ライフサイクルの早い段階でサイバーセキュリティを関与させようと努力しています。

しかし新型コロナウイルス感染症がもたらす課題は、もはやシフトレフトだけでは不十分であることを示唆しています。そこでCISOには、EYから東⻄南北の四⽅向へとシフトすることを提案します。つまり、4つの重要なステークホルダーへの取り組みです。

「北」のステークホルダーである経営陣の懸念に対処するには、報告と説明責任、そして予算とリソースの配分に重点を置きます。焦点を「東」、つまり規制当局にシフトさせるのは、認証書や証明書、規制のマッピングを優先する場合です。南へのシフトは、基準とテストの強化になります。そして西へのシフトには、認証や継続的なテストに加えて、セキュリティ・バイ・デザインとプライバシー・バイ・デザインに重点を置くことなどがあります。

CISOがこれらの4つの重要なステークホルダーの中心に位置することができれば、サイバーセキュリティ機能の戦略的影響力をレベルアップするための足場を適切に確保できることになります。

            サイバーステークホルダーの羅針盤

最悪の波を越えて

新型コロナウイルス感染症危機は、CISOを目覚めさせる契機となりました。企業はサイバーセキュリティチームに対して、早急な技術変革と新たな成長を実現させながら、同時に、進化するサイバー脅威から自社を守ることを期待してきました。

多くのCISOがこの課題に立ち向かっており、今日ではサイバーセキュリティの戦略的重要性が高まっていることは明らかです。一方で、危機によってサイバーセキュリティの弱点や改善分野が浮き彫りになった点にも注目する必要があるでしょう。具体的には、CISOは他の最高責任者レベルの経営幹部との間に信頼に基づく強固な関係を築き、セキュリティ・バイ・デザインへの取り組みを加速させる必要があります。

この取り組みは一筋縄ではいきません。また、1年以内に達成できるような抱負ではありません。しかし、企業は注目しています。CISOは戦略的投資の計画段階から関与する必要があります。その席を確保できるかどうかは、彼ら次第です。

  • 調査内容の詳細

    2021年のGISSのデータは、1010の組織のCISOおよびその他のシニアリーダーを対象に2021年3⽉から5⽉にかけて実施した調査に基づいています。回答者はCISOおよびC-suiteの専⾨家が50%を占め、その他はC-1のサイバーセキュリティ専⾨家でした。調査は主に電話で行いましたが、一部はインターネットでも実施しました。

    調査はグローバル規模で実施し、回答者の割合はヨーロッパ、中東、インド、アフリカ(EMEIA)が43%、アメリカ大陸が36%、アジア太平洋地域が20%でした。また、その構成は金融サービス、消費財・小売、健康・ライフサイエンス、エネルギー、政府、TMTセクターのCISOまたはそれに相当する人たちとなりました。本レポートのデータに含まれる各企業の年間売上高は、10億ドルを超えています。

    2020年との比較は、類似したサンプルプロファイルをベースに、2020年と2021年の情報を抽出して比較したものです。2020年には年間売上高が10億ドル未満の企業が含まれていますが、2021年には含まれていません。

    定量調査に加えて、EYは2021年4月から6月にかけて、サイバーセキュリティのオピニオンリーダーと徹底した一連のディスカッションを行いました。

サマリー

サイバーセキュリティの機能は、成長を実現する重要な要素となり得ます。まず予算の不足に対処すること、それから規制の複雑さを克服し、ビジネス部門との関係を改善することが必要です。

この記事について

執筆者 Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.