Ashley Rose、CEO兼共同創業者、Living Security
2025年7月24日
読了時間:4分
-Olekcii_Mach_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "キーボード上の「SAFETY」と書かれた緑色のキーと「RISK」と書かれた赤色のキー")
出典:Olekcii Mach(Alamy Stock Photo経由)
論説
サイバーセキュリティは、もはや技術的な問題だけではありません。今日の急速に進化する脅威の状況下では、サイバー攻撃がますます頻繁かつ巧妙になり、社会的な損害も拡大しています。今や、全社的な連携が求められる課題となっています。
しかし、多くの最高情報セキュリティ責任者(CISO)は、いまだに他の経営層に響かない技術的な言葉で話してしまいがちです。技術用語は、収益成長やブランド価値に関心のある取締役会では通じにくいものです。このギャップは、サイバーインシデントが株価や顧客の信頼、経営陣の職の安全に直接影響する今、ますますリスクとなっています。さらに、取締役会はサイバーリスクに対して責任を問われ、個人的な責任も負うようになっています。CISOはもはや技術的なサイロでコミュニケーションする余裕はありません。戦略的なパートナーを作り、サイバーセキュリティとビジネス成果を明確に結び付け、取締役会メンバーに彼らの受託責任を伝える必要があります。
なぜサイバーリスクは伝わりにくいのか
認識が高まっているにもかかわらず、多くの経営陣は技術的な脅威のビジネス上の重要性を理解するのに苦労しています。CISOが詳細な脅威マトリクスやパッチスケジュール、脆弱性スキャンを取締役会に提示すると、非技術系の関係者を圧倒し、影響力を失うリスクがあります。
リスクを、顧客取引の遅延やコンプライアンス違反による罰則など、ビジネスの混乱につなげて説明しなければ、メッセージは完全に伝わりません。この課題は、2025年のRSACカンファレンスで業界横断的に多くのセキュリティリーダーが指摘していました。技術的な専門知識だけではもはや十分ではありません。セキュリティリーダーとして、ビジネスへの影響を明確に説明し、文化に影響を与え、セキュリティ戦略を企業目標と一致させることが求められています。
責任共有の文化を築く
サイバーリスクは、IT部門だけの孤立した問題と捉えるべきではありません。全社的に共有すべき責任です。例えば、財務部門はセキュリティ投資の投資対効果(ROI)を理解する必要がありますし、人事部門は安全な入退社手続きに合意し、法務部門はインシデント対応や規制対応で連携しなければなりません。
ここで重要なのはソフトスキルです。セキュリティリーダーは、他の経営陣とコミュニケーションを取る際に、積極的な傾聴、共感、説得力のあるストーリーテリングを実践すべきです。受付スタッフであれ取締役会メンバーであれ、従業員一人ひとりが自分の行動がセキュリティにどう影響するかを理解し、リスクではなく味方となるべきです。
本当に従業員を第一線の防御役に変えるには、セキュリティを組織文化の根幹に織り込む必要があります。これは、単なるコンプライアンスを超え、全従業員が自分の役割と責任を理解し、積極的にセキュリティに関与する環境を作ることを意味します。重要なのは、従業員がリスクについて学ぶだけでなく、リスク防止における自分の役割を自覚し、主体的に行動するよう動機づける「セキュリティ文化」を築くことです。
セキュリティリーダーとして、今こそセキュリティ文化や指標についての議論を積極的にリードすべき時です。業界を問わずグローバルブランドと仕事をする中で、複数の取締役会は、コンプライアンスやクリック率を超え、組織のセキュリティ文化や人的攻撃面の強さ・進捗を示す指標を求めています。
取締役会の言葉で話す
戦略的な連携を推進するには、CISOはサイバーセキュリティをビジネスの推進力として位置付け直す必要があります。単なるコストセンターではありません。これにより、セキュリティをデジタルトランスフォーメーション、クラウド移行、製品イノベーションなど他の組織的な取り組みに容易に組み込めるようになり、後付けではなく最初から組み込むことができます。
CISOは、以下のような方法で信頼性と影響力を高めることができます。
-
戦略計画や予算の議論に参加する
-
セキュリティプロジェクトをリスク低減や競争優位性の推進要因として位置付ける
-
ゼロトラスト、データ損失防止、インシデント対応自動化などの技術投資について明確なビジネスケースを作成する
CISOが、セキュリティがリスクを低減しつつスピードとスケールを実現することを示せば、意思決定の場でより強い発言権を得ることができます。一方、特に取締役会に説明する際は、明確さが何より重要です。取締役会メンバーはすべての技術的詳細を理解する必要はありません。むしろ、それがビジネスにとって何を意味するのかを知る必要があります。
最終的に、取締役会が求めているのは、 経営陣がサイバーセキュリティリスクを適切に軽減し、会社を損失から守っているという確信です。効果的な取締役会向けコミュニケーションは、以下の点に焦点を当てるべきです。
-
発生確率と影響:リスクを確率とビジネスへの影響で説明する。
-
時系列の傾向:ダッシュボードを使って進捗や懸念点を示す。
-
平易な言葉:専門用語を避け、複雑な脅威は比喩や物語で説明する。
-
戦略的整合性:セキュリティの取り組みを顧客信頼、コンプライアンス、成長などのビジネス優先事項と結びつける。
-
リスクの道筋:業界全体の最新脅威状況を報告し、自社内外の現在のリスク状況を示す。
-
明確な指標:見やすく、定性的・定量的なデータポイントで情報や洞察を提供する。
どのような方法であれ、目標は同じです。情報に基づいた意思決定を促し、セキュリティを戦略的資産として強調することです。
意思決定の場で発言権を得る
最も成功しているCISOは、単なる技術者ではありません。翻訳者であり、協働者であり、戦略家です。サイバーセキュリティをビジネス価値の観点で捉えることで、抽象的なものを具体的にし、技術的な話題を経営にとって意味あるものに変えます。脅威インテリジェンスと企業のレジリエンス、コンプライアンスと文化の間をつなぎます。
重要なのは、大きな声で話すことではなく、正しい言葉で話すことです。サイバーリスクはビジネスリスクです。セキュリティリーダーがこの事実を受け入れ、リーダーシップの言葉で語ることを学べば、企業を守るだけでなく、企業を前進させることができるのです。それこそが、他の経営陣が求めていることなのです。