米トレンドマイクロが最近発表したレポートで、世のサイバーセキュリティ責任者の相当数（79%）が、取締役会からサイバーリスクの深刻さを軽視するよう圧力を受けている、と感じていることが明らかになった。さらに、これら責任者の80％が、深刻なデータ侵害が発生しない限り、取締役会はより積極的に対策を講じることはないと考えている。

同レポートでは、こうしたセキュリティ責任者たちが取締役会から「何度も同じことを言う」「口うるさい」「過度にネガティブ」と見なされていることも明らかになった。

トレンドマイクロは市場調査会社の英Sapio Research に依頼し、企業等でサイバーセキュリティを統括する世界のIT責任者2,600人を対象に調査を実施した。その結果、取締役会からの圧力を感じたことがあると答えたリーダーのうち、43％が「何度も同じことを言う」「口うるさい」と思われ、42％が過度にネガティブだとみなされ、33％が頭ごなしに否定されたと答えている。

トレンドマイクロのテクニカルディレクター、Bharat Mistry（バーラト・ミストリー） 氏は「自社の最大の事業リスクはサイバーリスクだ、と回答したセキュリティ責任者は半数以上に上ります。しかし、取締役会が理解できる言葉でリスクを伝えることができていません。その結果、無視されたり、軽視されたり、口うるさいと非難されたりしています」と述べている。

さらに 「上層部との連携を強化できなければ、企業のサイバーレジリエンスは損なわれることになります。最初の一歩は、攻撃対象領域全体の情報を1か所から確認できるようにすることです」と付け加えた。

ビジネスリーダーとセキュリティ責任者の間に根強く残るコミュニケーションギャップ

調査対象となったセキュリティ責任者のうち、自社が直面しているサイバーリスクをCスイート が完全に理解しているという確信がある、と回答したのは約半数（54%）にとどまった。回答者の34％が、サイバーセキュリティはいまだに事業リスクではなく、IT部門の一部として扱われていると回答している。

また、回答者の80%は、取締役会がサイバーリスクに対して、より断固とした行動をとる気になるのは、深刻なセキュリティ侵害が発生した場合だけだと考えている。「平均すると、15万ポンド（約3,000万円）の財務損失が必要だというのが彼らの主張です。取締役会が関心を持たず、十分に関与していないことがわかります」とレポートにはある。

「残念ながら、そのような単発的な出来事によって推進されるCスイートの行動や投資は、結果的にまとまりがなく戦略的な統一感を欠くことになります。セキュリティ侵害やインシデントの根本的な原因が解決することはほとんどなく、追加コストや複雑な問題を引き起こしがちなポイント製品を購入することになりかねません」と、トレンドマイクロは指摘する。

サイバーリスクについてCスイートと取締役会が知りたいこと

このようなギャップは、セキュリティ責任者の長期的な戦略目標の達成と組織全体のサイバーレジリエンスに、深刻な影響を与える、とトレンドマイクロは指摘する。

「実際のところ、取締役会は業界の専門用語や関心とは異なる指標を詰め込んだ、CISOの長くて退屈なパワーポイントによるプレゼンテーションには、ほとんど時間を割きません」

さらに、Cスイートは「サイバー技術はどのように事業目標の達成をサポートしているのか。サイバー投資の投資利益率（ROI）はどの程度か。そして自社が進めている直近のDX（デジタル変革）への取り組みにおけるサイバーリスクの影響は何か」といった問いについての洞察を求めている。

取締役会のメンバーにしてみれば、サイバーセキュリティプログラムの細部に興味はない。むしろ「自社のセキュリティはどの程度安全か」「自社のセキュリティプログラムは競合他社と比較してどうか」といった大局的で戦略的な論点に興味があるのだ。

レポートによると、自身の戦略のビジネス価値を効果的に測定し、伝えることができるサイバーセキュリティ責任者は、信頼が上がり（46％）、以前よりも大きな責任を与えられ（45％）、より重要な部門と見なされるようになり（44％）、与えられる予算が増え（43％）、上層部の意思決定に参加する機会が増えた（41％）という結果になっている。

Security leaders feel pressured to downplay risks: Serious breach seen as only wake-up call