脅威アクターはAIを使って攻撃を激化させており、企業の取締役会は社内の連携を強化し、急いでサイバーセキュリティに取り組むことが求められている。
取締役会の最も大きな役目は、経営陣とともに会社の利益を増やし、守ることだ。Clifford Capitalのチェアマンを務めるSanjiv Misra氏は、シンガポールのセキュリティ企業Istariが開催したアジア太平洋地域(APAC)のサイバーセキュリティ会議「Charter」のパネルディスカッションで、企業によるデジタル技術の活用が不可欠となっている昨今では、取締役会の成長戦略にサイバーセキュリティが含まれていなければならないと主張した。
(提供:Yuichiro Chino/Getty Images)
サイバーセキュリティに対する考慮が欠けていると、取締役会が事業を成長させる能力は大きく損なわれるとMistra氏は言う。同じくパネリストでEnsign InfosecurityのチェアマンのLee Fook Sun氏もそれに同意し、物理的な世界とサイバー空間はつながっていると指摘した。例えば、ウクライナやガザで起こっている紛争は、ハクティビズムや国家によるサイバー攻撃を引き起こし、ネットワーク上での脅威アクティビティーの増加につながったという。
企業の取締役会は、このような現実世界の出来事がオンライン環境にどのような影響を与え、自社のビジネスリスクにどう反映されるかを知る必要があるとLee氏は言う。そのためには、どこにどんな脅威があり、誰が攻撃してくるのかを把握する必要がある。Lee氏は、取締役会が必要とする知見は、Ensign Infosecurityが最近公表したような、セキュリティ企業が提供する脅威インテリジェンスからも得られるかもしれないと述べた。
また、企業の取締役会の間ではサイバーリスクに対する意識が高まっているものの、現状ではまだ取締役会と他の部門との結束が不足していると同氏は指摘した。規制対応に対する懸念はサイバーリスクに対する注目を高める原動力になってはいるものの、企業が真剣に取り組み始めるのは、初めてセキュリティ侵害を受けた後である場合が多い。
Lee氏は企業の取締役会に対して、自社の最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)の仕事を理解し、それらの役員が効果的にその役割を果たせているかどうか見極めるべきだと語った。セキュリティ部門を効果的に動かすためには、脅威を特定してその脅威から企業を守れるよう、担当役員との間で率直に議論を交わす必要があると同氏は言う。
同氏はまた、取締役会は財務などの別の差し迫った問題を抱えていることが多いため、小委員会を設けてサイバーリスクの管理を任せた方がいいとも提案した。この小委員会に会社のサイバーセキュリティ戦略やサイバーレジリエンスの効果を評価させ、監督させればよいという。
さらにMisra氏は、取締役会がサイバーリスクを認識し、ビジネスに対する影響の位置づけを定める必要があると強調した。それによって初めてこれらのリスクの優先順位を評価できるようになり、急いで対応すべきなのはどの要素で、それらの脅威をどう管理すべきかを把握することができる。サイバー攻撃は増加の一途をたどっており、企業はこうした活動をすぐにでも実施すべきだと同氏は述べた。
