PR
CEOが企業にリスクをもたらす10の項目―CISO-CEO間の隔たりを埋めるために Part7
これまで、会社の利益のためにはセキュリティをもっと戦略的なものにする必要があることをCEO(最高経営責任者)に納得させるにあたってCISO(最高情報セキュリティ責任者)がやるべきこととやってはいけないことを取り上げた。だがCEOもこの件に関しては責任を負っている。CEOは、自分の行動や態度が、会社の情報保護の取り組みにどのようなインパクトを与えるかを理解しておく必要がある。情報セキュリティに関して、CEOやそのほかの最高経営責任者、取締役会がどのようにして会社を危機にさらすことになるのかを検証する。
1. 情報に対するリスクを無視する
CEOやほかの経営陣は、情報に対するリスクを無視したり、十分な時間をかけて考慮しないことがある。競争上の脅威や財政危機など、憂慮しなければならないリスクがほかにも多数あるのが原因だろう。だが現在の社会経済情勢やビジネス状況を考えれば、情報の保護は経営陣が注意を払うべき戦略的な重要事項であることは明らかだ。
情報侵害は知的財産の喪失や企業ブランドへのダメージ、訴訟、規制問題の原因となる可能性がある。しかも被害は拡大しつつある。不正送金などの違法取引にターゲットを絞ったサイバー攻撃や特製マルウェアによって直接的な財政的損失を被り、支出を余儀なくされる企業が増加している。CEOやその他の経営陣が情報に対するリスクを無視すれば、会社を危険にさらすことになる。
2. トップが誤った方向性を打ち出す
CEOが情報保護に無関心なカルチャーを作り出すことは、会社を危機に陥れることになる。指導者が情報保護の重要性を考慮しなければ、社員たちも気にしなくなる。経営陣が正しい方向性を打ち出すことが必要だ。情報セキュリティの重要性を積極的に伝え、セキュリティ・ミッションを目に見える形でサポートし、情報セキュリティを全社員の責任として位置付けることだ。
3. マスコミの騒ぎに流される
サイバー脅威に関する過熱したマスコミの報道は、CEOやほかの最高経営責任者たちを誤った方向に導くことがある。そうした大騒ぎにまき込まれた場合、ニュースで大きく取り上げられるリスクにのみ注意を向けてしまい、自社にとって最も重要なリスクを見失うことになる。
4. 単なる技術的問題として考える
情報セキュリティは通常、情報テクノロジー部門の管轄であるため、多くの人にとって特殊な技術的分野とみなされている。だが実際には単に技術の問題ではなく、リスク管理の問題である。例えばCEOは、CISOがすべてのノートパソコンを暗号化すれば情報セキュリティ問題を解決できたと考えることがある。だが、大きな視点から状況を把握しない限り、会社はそのほかのあらゆる種類の危険にさらされることになる。
5. 単なるコンプライアンス問題として考える
サーベンス・オクスリー法(SOX法)から、プライバシーに関する州法や国内法、国際法にいたるまで、データ保護を定めた法規制は多数ある。これらの法規制によって、CEOやほかの最高経営責任者が情報セキュリティのことを意識するようになったのは間違いない。だが最高経営責任者たちがデータ保護をコンプライアンス問題として取り扱った場合、もっとも切迫した危機には対応していないことになる。コンプライアンスでは「チェックリスト」的発想に依存することが多い。だが、これは要件に対して最小限の対応をすることであり、リスクを検証することではない。コンプライアンスが情報リスク管理の重要な促進因子であることは間違いないが、それが最終目標ではないのだ。
6. ガバナンス構造を設けない
ガバナンス構造がなければ、セキュリティ・プログラムでは会社全体のリスクを適切に管理するための能力も手段も得られず、持続的なプロジェクトにもならない。情報リスク管理は、理想的には企業全体のリスク・プログラムに組み入れるべきだ。最高レベルの経営陣で構成する組織/部門横断的な企業リスク委員会を設立することが必要になる。ガバナンスはリスク決定を十分に理解して定義した手法をベースにし、その手法は会社全体に十分に伝達する必要がある。
7. 情報セキュリティの組織内レベルを低下させる
セキュリティ・リーダーには、CISOか同レベルの経営幹部を指名する必要がある。情報セキュリティは、自社のブランドや評判、情報資産を保護するのと同じくらい重要な事柄だ。これを職責のない人に任せるわけにはいかない。CISOは、少なくとも最高経営責任者レベルの役職者に報告し、企業リスク委員会のメンバーとなる、あるいは同委員会で十分な立場に就くことが求められる。
8. 自分自身のリスクを認識しない
リスクを最終的に負うのは情報セキュリティ担当役員ではなく、CEOをはじめとする最高経営責任者たちと取締役会だ。CISOの仕事は、そうしたリスクに責任を持つ人たちが最高の意思決定ができるよう支援することにある。ビジネス・リーダーが、リスクを負っているのは自分自身であることを認識していなければ、リスクを適切に考慮したり、リスクに対する企業の意欲を意識的に判定することができなくなる。
9. セキュリティ・ポリシーを適用しない
CEOやその他の最高経営責任者、取締役会はリスクを負うだけでなく、最終的には独自の情報セキュリティ・ポリシーを策定することになる。ポリシーの適用に関する知識を自ら備え、承認し、確認する必要があるのだ。あまりに不便だからという理由で、セキュリティ管理からコンピュータを切り離せば、CEOたちが自らセキュリティ・ポリシーを弱体化させることになる。そうなればセキュリティ・ポリシーは台無しだ。セキュリティ・ポリシーに対して首脳陣からのサポートがない場合、情報セキュリティ・プログラムが有効なものになることはなく、企業はリスクにさらされることになる。
10. バブルに生きる
欧米の脱工業化社会の本質は、「裕福な商人」(princes of commerce)を多数の組織に、さまざまな相互作用のあるレベルに配することにある。CEOやほかの経営幹部たちが企業の最前線で過酷な現実から絶縁されていたとしたら、その企業はリスクにさらされることになる。経営首脳陣はリスクの本当の姿を知り、自分たちの会社の安全対策や保護対策の実力を知る準備をしておく必要がある。
- Security for Business Innovation Council
- EMCのセキュリティ部門であるRSAセキュリティの主催による業界イニシアチブ
| 執筆 | 特別ゲスト寄稿者 |
|---|---|
| JP Morgan Chase社、Chief Information Risk Officer、Anish Bhimani氏 EMC社、Vice President兼Chief Security Officer、Roland Cloutier氏 eBay社、Vice President兼Chief Information Security Officer、Dave Cullinane氏 CSO Confidential社、創設者兼Director、BP社前Chief Information Security Officer、Paul Dorey教授 Time Warner社、Vice President兼Information Security and Privacy Officer、Renee Guttmann氏 Genzyme社、Global Risk and Business Resources担当Vice President、David Kent氏 Diageo社、Chief Information Security Officer、Claudia Natanson博士 HDFC銀行、Chief Information Security Officer、Vishal Salvi氏 CIGNA社、Chief Information Security Officer、Craig Shumard氏 FedEx社、Chief Information Security Officer、Denise Wood氏 |
First Data社、Chief Executive Officer、Michael Capellas氏 |
本誌は、読者登録いただくことにより、毎月無料でみなさまのお手元まで直接お届けいたします(書店などでは販売していません)。
企業の情報システムを担当する方々や事業部門のIT担当の方々、およびIT関連プロフェッショナルの方々を対象に、実践的に役立つ情報を掲載、幅広く業務にご活用いただけます。
- データセンター見積もりは「DC完全ガイド」
最新iDCやテクノロジ・製品情報が満載。iDC事業者・サービスカタログで見積もり資料請求にも対応 - レンタルサーバー比較検索「RS完全ガイド」
共用・専用・VPS、国内1600以上のレンタルサーバー/ホスティングから最適なサービスを比較検索 - クラウド比較検索「クラウドサービス完全ガイド」
企業に役立つクラウド関連記事、製品・サービス情報
