出典:Arndale via Shutterstock
チャック・ノートンがウェスタン・ミシガン大学の最高情報セキュリティ責任者(CISO)に就任してから数か月しか経っていない頃、ライドシェアアプリUberの別のCISOが情報漏えいの隠蔽で有罪判決を受けた。
ノートンは、侵害やその対応に対して刑事責任を問われる可能性を懸念し、法的保護を契約の一部にすることを求めた。口頭での保証は受けたものの、その約束が書面にはならないことに気づいた。
「私は全く保護を受けていませんでしたし、それは大きな懸念でした。特に、すべてに責任を持たされているのに、何も権限がないという状況に置かれていたからです」と、4月にその役職を離れ、現在はサイバー保険会社Resilienceのシニアテクニカルセキュリティアドバイザーを務めるノートンは語る。「経営陣はCISOにある程度の信頼を寄せて『すべて正しい判断をしてくれると信じている』と言います。それは素晴らしいことですが、一方でダモクレスの剣が頭上にぶら下がっているような気分でした。」
ノートンだけがこのような状況にあるわけではない。CISOの役割が拡大するにつれ、彼らが直面するリスクも増大している。組織のサイバーセキュリティ体制やインシデント対応だけでなく、CISOはしばしばコンプライアンス、サイバーレジリエンスの取り組み、AI導入方針などにも責任を負っている。
しかし、責任の増加が必ずしも支援や予算の増加を伴うわけではない。2023年の元Uber CISOジョセフ・サリバンの有罪判決(現在控訴中)や、同年の証券取引委員会(SEC)によるSolarWindsとそのCISOへの「詐欺および内部統制の失敗」容疑は、多くの企業やCISOに法的保護の見直しを促した。
CISOのリスク増大、企業のリスクは変わらず
このような懸念が企業のサイバーセキュリティやレジリエンスの向上につながれば良いのだが、実際にはそうなっていないと、クラウドサービスおよびコンテンツ配信プロバイダーFastlyのCISO、マーシャル・アーウィンは語る。
「実際には、主に責任問題への対応として、重要なセキュリティリーダー向けの責任保険の提供や、SECへの開示書類の修正などが行われています」と彼は言う。「これらは必ずしも悪いことではありませんが、実際に…企業のセキュリティ体制を有意義に改善するものではありません。本来、責任制度の目的はそこにあるべきだと思います。」
全体として、93%の組織が過去12か月間にCISOの個人責任に関する懸念に対応するための方針変更を行ったが、その変更が必ずしもセキュリティに影響しているわけではない。Fastlyが3月に発表した調査データによると、38%の企業がSEC提出書類の精査を強化し、38%がサイバーセキュリティ担当者への法的保護の強化を約束した。
サイバー攻撃者もCISOの懸念を十分に認識している。昨年、ハッカーがインドの保険会社Star Health and Allied Insuranceの3,100万人分の顧客データを持っていると主張し、さらに同社のCISOがデータを売ったと主張した。1か月後の調査でCISOの潔白が証明されたが、この事件はCISOを標的とした個人的・職業的脅威の最新例となった。
他の事例では、企業が最終的に自らを守ることに成功した場合でも、重大な法的リスクにさらされた。例えば2024年には、判事がSolarWindsに対するSECの訴訟の大部分を却下し、同機関は先月同社と和解した。(SolarWindsは2月に非公開化を発表し、SECの管轄外となった。)
今後、さらなる個人的脅威が増えるのか?
CISOは他の経営幹部同様、個人の安全に対する脅威にも直面している。公の場に立つ人は、従業員や同僚から情報やシステムへのアクセスを引き出すことを目的としたディープフェイク攻撃に遭う可能性が高い。
自身のプライベートが侵害される可能性を感じたことで、元Robinhoodの最高セキュリティ責任者であり、現在はサイバーセキュリティ投資会社Whiterabbit Venturesの創業ゼネラルパートナーであるケイレブ・シマは、自身と家族のオンライン上の安全性を見直し、個人情報の保護に努めた。
攻撃者がディテール重視の攻撃、さらにはディープフェイクを利用した詐欺に注力する中、すべてのサイバーセキュリティ幹部は自分のリスクを評価する時間を取るべきだとシマは語る。
「攻撃者はソーシャルメディアを使って詳細な[オープンソースインテリジェンス]を収集します。旅行パターン、家族の詳細、ビジネス関係などです。経営幹部の旅行投稿に合わせてフィッシング攻撃を仕掛けた事例も見たことがあります」と彼は言う。
シマは、妻がシェフ系インフルエンサーであり、彼女の番組に家族が出演しているため、家族のリスクも高まっていると指摘する。他のサイバーセキュリティ幹部も、自身だけでなく家族や職業上の要因など、あらゆるリスク要素を評価すべきだ。例えば、オンラインショッピングサイトのCISOよりも金融取引会社のCISOの方が標的になりやすい、と彼は言う。
「リスク、費用、時間をどのように経営幹部の保護プログラムに割くかは、役割や企業の状況に応じて評価すべきです」とシマは語る。
責任ではなくセキュリティに注力を
CISOは、他の経営幹部や取締役会に対し、組織のリスクの全体像と、そのリスクを最小化するためにリソースがどのように活用されているかを明確に示すことに注力すべきだとFastlyのアーウィンは語る。企業によっては責任問題には対応しているが、セキュリティ面には十分対応していないため、多くの企業の対応が責任回避に偏りがちだという。
「この問題に対する圧力は少し和らいだようで、CISOたちも1年前ほどは恐れていないように感じます」とアーウィンは言う。「しかし、それを進歩とは思いません。アカウンタビリティの本質は、より強固なセキュリティを促進することにあるはずです。セキュリティリーダーが即座に責任を問われるプレッシャーが減ったからといって、企業のセキュリティプログラムを強化するインセンティブが適切に働いているとは限りません。」
Resilienceのノートンは、今後CISO職に就く場合、特定の企業文化や契約文言を重視すると語る。
「私はこれから、検討する組織の文化について、より慎重に、より深く考え、意識的になるでしょう」と彼は言う。「私にとっては、技術的なコントロールよりも文化的要素の方がはるかに重要です。意志があれば方法は見つかりますが、意志がなければどんなコントロールを導入しても意味がありません。結局、何も実現しないのです。」