このレポートは、クリーブランド連邦準備銀行のリスクスペシャリスト兼SMEであるAllen Ari Dziwa氏(CISSP, CCSP) によるものです。Dziwa氏は、15年間サイバーセキュリティコンサルティングとして従事しました。現在は、ISSA North Texasの理事、E-CouncilのEthical Hackingアドバイザリーボード、ISC2のCISSPレビューに貢献しています。また、認定ホワイトハッカー(CEH)、認定脅威情報アナリスト(CTIA)として認定されています。

企業の取締役会の目的は、確立されたサイバーリスクの許容範囲内でサイバーセキュリティ戦略を実施することを含め、ガバナンスを提供し、経営幹部に責任を持たせることです。どのような組織でも、事業活動から収益を上げることが目標であり、そのためにはインターネットに接続された技術やシステムを利用するケースがほとんどです。データを処理および保存するテクノロジーとシステムの使用には、データの機密性、完全性、および可用性が失われる可能性がある固有のリスクがあります。組織は、この固有のリスクを排除することはできませんが、確立されたサイバーリスクアペタイトに依存する許容レベルまで低減することは可能です。サイバーリスクアペタイトとは、企業の取締役会が戦略的な事業目標を達成するために許容できるサイバーリスクのレベルや種類を集約したものと捉えることができます。取締役会が最高リスク責任者や防衛ラインにいる専門家の助言を得て全社的なリスク許容度を設定する際、このチームは組織のサイバーリスク許容度もある程度詳細に定義します。このサイバーリスクの監視と管理は、取締役会に対するサイバーセキュリティ報告の中核をなすものです。

しかし、なぜ取締役会はこのような報告を要求するのでしょうか。これらの情報は、経営陣がテクノロジーとサイバーリスクの適切な管理を行うための判断材料となり、収益の損失や評判の低下、さらには深刻な法的リスクの発生を回避するために極めて重要です。したがって、効果的なリスク報告とは、取締役会に提供される情報が、取締役会が事業の戦略的必要性に応じて適切なタイミングで適切な意思決定を行うために有用であることを意味します。情報システム管理(MIS: Management of Information System)を通じて、上級管理者は技術的な専門用語をビジネス用語に翻訳し、サイバーリスクが業務にどのように影響するか、業務への影響が収益を生む活動にどのように影響するかを説明できるようにする必要があります。サイバーリスクはオペレーショナルリスクに分類されるが、通常は、少なくとも1名のビジネスと技術に精通した取締役を含むリスク委員会を通じて、取締役会に明確に伝達されるべきである。

しかし、サイバーセキュリティとテクノロジーは、製品やサービスの販売を含む組織のミッションの不可欠な部分であり、ビジネスを可能にするものと見なされるべきです。サイバーセキュリティサービスを販売することが会社の中核事業でない場合、サイバーセキュリティの支出は、収益との明確な関連性がなく、予算の一部を利用するコストセンターであるという考え方が以前からあったようです。

ステークホルダーの中には、指標を作成するだけで、取締役会に効果的な報告ができていると考える人もいます。問題は、それらの指標が意味のある戦略的な意思決定に役立つかどうかです。多くの組織では、KRI(Key Risk Indicator)を使用しています。KRIは、ある閾値が設定された許容範囲を超えた場合に早期に警告を発する指標となるものです。企業で作成されたKRIの中には、キャリブレーションが不十分なために、そのような指標を意思決定に無関係なものにしてしまい、違反することがないものもあります。シニアマネジメントは、サイバーセキュリティの指標で表されるサイバーリスクが、なぜ会社の経営の健全性に悪影響を及ぼすのか、そして、会社の収益やブランドへのダメージとなり得る情報漏えいを回避するための投資を承認するなど、取締役会が何をすべきかを示すことができなければなりません。

例えば、サイバーセキュリティの指標で、ある国家に支援された脅威者がランサムウェアで企業を標的にする試みを一貫して行っていることを示した場合、上級管理者はこれを証拠としてまとめ、取締役会に投資の可能性を判断させることができるかもしれません。コスト・ベネフィット分析を行った後の投資としては、特にリスクのあるデータが会社の中核業務にとって重要である場合、ホットサイトなどのバックアップインフラに投資する必要性が考えられます。

また、業務や収益に直接影響を与える脆弱性の修正が遅れているかどうかを示す Key Performance Indicators(KPI)を設定し、その情報を基に、修正作業を迅速化できるスキルを持った人材を追加で採用することもできます。このようなサイバーセキュリティの指標は、経営陣が取締役会に戦略的な必要性を提示する際に有効です。多くの組織は、難解で無関係な情報を伝える測定基準の大要で、役員を圧倒しています。

ヘルスケアのような規制産業では、サイバーセキュリティの指標によって、上級管理職が法律や規制の遵守を維持しているかどうかを取締役会が評価することもできるようにする必要があります。また、サイバーセキュリティの指標を慎重かつ適切に考案し、会社がコンプライアンスをどのように維持しているかを明確な形で取締役会に伝えることも必要です。サイバーセキュリティの報告が、最高情報セキュリティ責任者（CISO）の下にある第一線の防衛チームによって誤報告されないようにするためには、独立した第二線の防衛チームが、取締役会がそれらを見る前に測定基準の妥当性と正確性をレビューし、異議を申し立てることが理想的です。

取締役会には株主の利益を守る受託者責任があり、取締役会のすべての決定は最終的にその目標を達成するために行われることを忘れてはなりません。したがって、サイバーセキュリティの指標は、企業のサイバーリスクプロファイルの状況を洞察するものであることを認識することが重要である。サイバーリスクプロファイルは、収益を生み出す活動にどのような影響を与えるか、あるいは法的な暴露やブランドの損傷から生じる可能性のある財務的なリスクを明確に示す必要があります。リスクアペタイトを適切に運用することで、シニアマネジメントはサイバーリスクを中核的な業務リスクと結びつけることができます。リスクアペタイトが「中」であれば、それを定量的な限度額でリスク閾値に変換する必要があります。この限度額は、起こりうる業務上の影響を見積もるための基礎となるべきものです。

CISOが発表すべき内容、発表の仕方、重要なポイントについては、ISC2のCISOであるJon France氏(CISSP)著「Board, (Dash)board and Bored」をお読みください。

原文記事：
https://blog.isc2.org/isc2_blog/2022/11/effective-cybersecurity-board-reporting.html