リスクを軽視せよという圧力=セキュリティ責任者の回答、深刻な侵害だけが警鐘に
米トレンドマイクロが最近発表したレポートで、世のサイバーセキュリティ責任者の相当数(79%)が、取締役会からサイバーリスクの深刻さを軽視するよう圧力を受けている、と感じていることが明らかになった。さらに、これら責任者の80%が、深刻なデータ侵害が発生しない限り、取締役会はより積極的に対策を講じることはないと考えている。
同レポートでは、こうしたセキュリティ責任者たちが取締役会から「何度も同じことを言う」「口うるさい」「過度にネガティブ」と見なされていることも明らかになった。
トレンドマイクロは市場調査会社の英Sapio Research に依頼し、企業等でサイバーセキュリティを統括する世界のIT責任者2,600人を対象に調査を実施した。その結果、取締役会からの圧力を感じたことがあると答えたリーダーのうち、43%が「何度も同じことを言う」「口うるさい」と思われ、42%が過度にネガティブだとみなされ、33%が頭ごなしに否定されたと答えている。
トレンドマイクロのテクニカルディレクター、Bharat Mistry(バーラト・ミストリー) 氏は「自社の最大の事業リスクはサイバーリスクだ、と回答したセキュリティ責任者は半数以上に上ります。しかし、取締役会が理解できる言葉でリスクを伝えることができていません。その結果、無視されたり、軽視されたり、口うるさいと非難されたりしています」と述べている。
さらに 「上層部との連携を強化できなければ、企業のサイバーレジリエンスは損なわれることになります。最初の一歩は、攻撃対象領域全体の情報を1か所から確認できるようにすることです」と付け加えた。
ビジネスリーダーとセキュリティ責任者の間に根強く残るコミュニケーションギャップ
調査対象となったセキュリティ責任者のうち、自社が直面しているサイバーリスクをCスイート が完全に理解しているという確信がある、と回答したのは約半数(54%)にとどまった。回答者の34%が、サイバーセキュリティはいまだに事業リスクではなく、IT部門の一部として扱われていると回答している。
また、回答者の80%は、取締役会がサイバーリスクに対して、より断固とした行動をとる気になるのは、深刻なセキュリティ侵害が発生した場合だけだと考えている。「平均すると、15万ポンド(約3,000万円)の財務損失が必要だというのが彼らの主張です。取締役会が関心を持たず、十分に関与していないことがわかります」とレポートにはある。
「残念ながら、そのような単発的な出来事によって推進されるCスイートの行動や投資は、結果的にまとまりがなく戦略的な統一感を欠くことになります。セキュリティ侵害やインシデントの根本的な原因が解決することはほとんどなく、追加コストや複雑な問題を引き起こしがちなポイント製品を購入することになりかねません」と、トレンドマイクロは指摘する。
サイバーリスクについてCスイートと取締役会が知りたいこと
このようなギャップは、セキュリティ責任者の長期的な戦略目標の達成と組織全体のサイバーレジリエンスに、深刻な影響を与える、とトレンドマイクロは指摘する。
「実際のところ、取締役会は業界の専門用語や関心とは異なる指標を詰め込んだ、CISOの長くて退屈なパワーポイントによるプレゼンテーションには、ほとんど時間を割きません」
さらに、Cスイートは「サイバー技術はどのように事業目標の達成をサポートしているのか。サイバー投資の投資利益率(ROI)はどの程度か。そして自社が進めている直近のDX(デジタル変革)への取り組みにおけるサイバーリスクの影響は何か」といった問いについての洞察を求めている。
取締役会のメンバーにしてみれば、サイバーセキュリティプログラムの細部に興味はない。むしろ「自社のセキュリティはどの程度安全か」「自社のセキュリティプログラムは競合他社と比較してどうか」といった大局的で戦略的な論点に興味があるのだ。
レポートによると、自身の戦略のビジネス価値を効果的に測定し、伝えることができるサイバーセキュリティ責任者は、信頼が上がり(46%)、以前よりも大きな責任を与えられ(45%)、より重要な部門と見なされるようになり(44%)、与えられる予算が増え(43%)、上層部の意思決定に参加する機会が増えた(41%)という結果になっている。
Security leaders feel pressured to downplay risks: Serious breach seen as only wake-up call
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
クラウド Dan Meyer2024.08.27
AWS、Azure、Google Cloudのマーケットプレイスが急成長へ
Amazon Web Services(AWS)、M…
-
データセンター Dan Meyer2024.08.22
世界のデータセンター事情=ハイパースケーラーに容量が集中していくのはなぜか
Amazon Web Services(AWS)、M…
-
ネットワーク Sean Michael Kerner2024.08.20
DNSパフォーマンスの調査が、プロバイダー間の大きな格差を明らかに
IBMとCatchpoint Systemsが実施し…
-
セキュリティ Nancy Liu2024.08.01
データ侵害の平均被害額、490万ドルに急増=身代金支払額も記録更新、7500万ドルに
IBMとZscalerがそれぞれサイバーセキュリティ…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点