GMOサイバーセキュリティ byイエラエ株式会社

セキュリティブログ

サイバーセキュリティについて「経営者は何を問うべきか?」

サイバーセキュリティについて「経営者は何を問うべきか?」

更新日:2025.02.13

はじめに

こんにちは、ディフェンシブセキュリティ部CSIRTアシスト課の小林雅哉です。

サイバー脅威がますます深刻化する昨今、「経営者の責務」からサイバーセキュリティ対応が求められる機会も増え、経営者の皆様が持つ危機感や責任意識はすでに十分なものだと思います。しかしながら、組織と共に対応を進めるにあたって「何を問いかけ、何を議論するべきか」という点で手掛かりは不足しているように感じます。そこで、本ブログでは経営者の皆様に向けて、英国国家サイバーセキュリティセンター(NCSC)公開の「Questions for the board to ask about cyber security」を用いて、サイバーセキュリティについて「経営者は何を問うべきか?」を解説いたします。

ユースケース

本ブログは、経営者の皆様が組織(経営層、法務、人事、技術などの各部門)とサイバーセキュリティについて生産的な議論を促すための指針としてお使いください。あくまでも「きっかけ」や「出発点」であり、経営者がその責任を果たすための「作業チェックリストではないこと」をご理解いただけると幸いです。

経営者は何を問うべきか

ここでは経営者が問うべきことを「9つの質問」で定義しています。まずは、これらを見渡していただき、不安に思うところ、課題に思うところ、など目を引くものがあれば優先的に採り上げ、議論の入口とすることをお勧めします。 

経営者から組織への「9つの質問」

Q1.セキュリティは根付いているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

 ● ビジネス戦略におけるセキュリティの考慮状況
 ● 事業部門におけるセキュリティの優先度
 ● 組織におけるセキュリティ担当者と責任者の認知度
 ● 経営会議や部門会議におけるセキュリティ議題の採用状況
 ● 経営層に向けたセキュリティレポートの提出状況

サイバーセキュリティは、組織やビジネスをただ守ってくれるというような、単なる「良いIT」ではありません。組織のリスク管理と経営判断に組み込むべきものであり、うまく活用することで組織のデジタル活動が円滑化し、ビジネスに付加価値が生まれるものです。
セキュリティはチームスポーツであることを組織の全員が理解し、すべての事業部門がチームメンバーとしてその役割と責任を果たすことが不可欠です。セキュリティを一過性の取り組みで終わらせず、企業風土に根付かせるためにも、経営者はリーダーシップを持って適切な権限をメンバーに与えることが重要です。

Q2.セキュリティに前向きか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

 ● 経営層におけるセキュリティ活動の関与状況
 ● セキュリティ活動における部門間連携の状況
 ● 「責めない」文化の浸透

組織の姿勢はそこで働く人々がどのように考え、どのように取り組むのかを決定する価値観によって左右されます。組織の安全性を高め、ビジネスを守るのは技術やプロセスだけではなく「人」であるため、人々の価値観もサイバーセキュリティについて積極的であるべきです。
前向きな取り組みは「人」に自覚を促すとともに、組織の一体化を進めます。これにより、組織はセキュリティ事故すらからも学びを得ることができ、将来の事故を防ぐための礎とすることができます。前向きな姿勢を作り維持するためにも経営者は率先して行動し、組織の人々にセキュリティの重要性をストレートに伝えることが大切です。

Q3.セキュリティ人材は育っているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● セキュリティスキルの育成計画
● セキュリティレベルの向上度
● セキュリティ担当者や責任者の構成推移

急速なAI技術の進歩や地政学的な緊張から、政府や企業に対するサイバー脅威は高まり続けています。サイバーセキュリティ専門家の需要も同時に高まっており、「内部人材への投資、外部人材の採用、専門人材の育成計画」などの組織からのニーズに経営者は応える必要があります。
サイバー攻撃者は新技術をすぐに取り入れ組織を新たな危機にさらします。この対応に遅れることはビジネス競争上でも不利となるため、経営者はセキュリティ知識を身に着け、組織が現状の危機をキャッチアップできているかを確認しなければなりません。

Q4.重要資産を特定しているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● 資産台帳の網羅性と管理状況
● 経営層や部門責任者における重要資産の理解度
● セキュリティ方針と重要資産の紐づけ状況

資産の重要性を理解することはリスク管理においても非常に効果的です。これは組織が持つ資産を漏れなく把握し、ビジネスが依存している重要な資産を特定できていることを示します。経営者は組織の限りあるリソースが、その守るべき重要な資産の保護に集中できるよう指示するべきです。
一部の資産はサイバー脅威から守るだけでなく、規制や法律に従って管理する必要があります。経営者はこれらの管理状態を理解し、規則や法律が要求するシステムやプロセスに沿って実施していることを保証することが求められます。

Q5.サイバー脅威を理解しているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● 経営層や部門責任者におけるサイバー脅威の理解度
● 部門内や部門間における脅威情報の共有状況
● 外部セミナーやイベントを通じた交流状況

サイバー脅威の理解はサイバーセキュリティ投資の調整にもつながります。どんな脅威から組織を守るべきかを理解し、優先順を付けることで「あらゆる脅威から身を守る」という効果が低く無駄の多い対応を避けることができます。
サイバー脅威の評価は技術的観点だけでなく、ビジネス観点を加えることで攻撃者の動機をより現実的に把握できます。組織全体の関係者により、サイバー脅威が評価され優先的なリスクがカバーされることが理想的です。サイバー脅威の理解を深めるためには組織内や組織外でのコラボレーションが効果的なため、経営者はコラボレーションの障害を取り除く手助けをするべきです。

Q6.リスクマネジメントしているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● セキュリティリスクの把握状況
● セキュリティリスクとビジネスリスクの統合状況
● セキュリティリスクを管理するための仕組み
● セキュリティリスクの許容基準

すべての経営者はビジネスやテクノロジー、サービスを守るために「どれだけの時間と費用を掛けるべきか」という非常に難しい決断を迫られています。サイバーセキュリティリスクのマネジメントはこうした決断を下すための情報を提供し、決断に誤りがあれば改善を促すものでなければなりません。
今やビジネスリスクは多くの場合でセキュリティリスクを含んでいます。そのため、独立したトピックではなく、全体的なリスクマネジメントとして統合的に扱うべきです。これらのリスクマネジメントにおいて、経営者はリスクの許容基準を明確に定めることも必要です。散発的に起きるリスクは許容できたとしても、年度末などに複数リスクが同時に顕在化することは許容できないなど、累積するリスクについての許容基準も考慮するべきです。

Q7.セキュリティの効果は出ているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● セキュリティ対策における指標の設定
● セキュリティ対策と軽減されるリスクの紐づけ状況
● セキュリティ対策と従業員の連携状況
● セキュリティ体制の見直し頻度

効果的なセキュリティ対策は重大なインシデントが起こるリスクを下げるだけでなく、組織がサイバー脅威にさらされる機会を減らし、評判や財務、法務に関わる負の影響も軽減することができます。
経営者はセキュリティの効果を把握するためにセキュリティ対策の決定や実行、レビューの内容を理解する必要があります。また、組織は経営者の理解を助けるために、技術の詳細を省いて概要をシンプルに説明することが大切です。レビューの観点は様々ですが、直近で全体的なレビューがされていれば、セキュリティの効果は継続している可能性が高いといえます。セキュリティ対策のパフォーマンス改善を期待する場合では、レビュー観点に「平均復旧時間(MTTR)」や「セキュリティポリシー違反回数」などの定量的な指標を加えることが望ましいです。

Q8.関係会社と連携しているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● 関係会社とのセキュリティ遵守状況の「相互見える化」
● 関係会社と連携したリスクアセスメントやインシデント対応訓練
● 関係会社に向けたセキュリティ教育などの受入プロセス
● 関係会社によるサービスや製品の整理状況

「製品、システム、サービス」の提供には関係会社の存在が不可欠ですが、そのサプライチェーンはすでに大規模かつ複雑となり、どの時点においても脆弱性が入り込む余地があります。このためセキュリティの確保は非常に困難となりますが、まず取り組むべきことは、関係会社と協力体制を築きサプライチェーンを末端まで明確に把握することです。
関係会社と共有する資産はセキュリティ対策を講じたうえで、内容を契約書などで文書化していることが大切です。ビジネスで重要な依存関係にある資産は詳細にマッピングし、経営者は組織外のセキュリティリスクが組織にとって許容範囲に収まるか、組織外から波及するリスクが顕在化した場合に、関係会社から救済や保証が得られるかなどを確認する必要があります。

Q9.セキュリティ事故に備えているか?

・・・ここでは以下に着目することで、より発展的な議論が期待できます。

● インシデント対応計画に沿った定期訓練
● 経営層や部門責任者におけるインシデント対応の理解度
● 定期訓練の結果に対する経営層や部門責任者からのフィードバック状況

サイバーセキュリティのインシデントは「コスト、生産性、評判、顧客の喪失」などビジネスに深刻な悪影響を与える可能性があります。インシデントに備えることはサイバー被害の拡大を防ぎ、経営および財務上の影響を軽減するためにも不可欠です。
インシデント対応訓練はセキュリティの改善点を具体化することで、「備えること」についての期待と効果を組織の人々に確実に伝えることができます。経営者は組織が学んだ教訓の報告を受けることで訓練の成果を確認する必要があります。また、訓練シナリオは組織やビジネスの環境変化に沿った形でアップデートされるべきです。リスクマネジメントの対象となったリスクが訓練シナリオに組み込まれていれば、その重要性が経営者と組織の双方の記憶に新しいものであり、組織にとって「備えること」ができていることを示しています。

まとめ

本ブログは、サイバーセキュリティの「やるべきこと」に取り組む際に、経営者の皆様が組織に「何を問うべきか」を解説しました。これらの質問を組織へ定期的に投げかける、あるいは自問自答することで、組織とそこで働く人々と共にサイバーセキュリティへの理解と議論を深めながら、経営者の皆様にとってより良いご判断と行動の一助となれば幸いです。

弊社ではCSIRTやセキュリティ担当部門に向けて、セキュリティインシデントに備えた組織づくりなどをご支援しています。お気軽にお問い合わせください。

セキュリティ部門向け支援の詳細はこちら
シェア このエントリーをはてなブックマークに追加
セキュリティ診断のことなら
お気軽にご相談ください
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。
お問い合わせ資料ダウンロード
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説