出典:Aleksandr Davydov / Alamy Stock Photo
企業はリスクを恐れることも、歓迎することもできる。後者を受け入れる企業が増えている。
多くのリスク管理の流儀は恐怖によって成り立っている――リスクを文書化し、書き留め、組織内で発見可能にしてしまうことへの恐怖だ。セキュリティ担当者は、それらのリスクが実際の問題に発展しなくても自分が責められるのではないかと心配する。そして、もしインシデントや侵害につながれば、その心配はパニックへと変わる。
しかし、リスクは不当に悪者扱いされがちだ。業界全体で文化的な転換が起きつつあり、リスクの特定と、それを軽減するために積み重ねた進捗が、罰ではなく報酬として評価されるようになってきている。その考え方を根付かせることで、従業員は経営層に対して声を上げやすくなり、透明性が高まり、メンタルヘルスの改善にもつながる。
優れたリーダーはリスクの特定を評価する
DrataのCISOであるMatt Hillaryは、キャリア初期に初めてその場に臨んだとき、リスクを見落とした自分を責め立てていた。彼はリスクに対してほぼゼロ許容という前提で動いていたが、リスクマネージャーとしての立場に持ち込むべきメンタリティではないとすぐに気づいた。
第一に、彼が感じていた恥、罪悪感、抑うつは伝染し、組織の他のメンバーへと波及していった。第二に、本人が気づかないうちに他者を辱める形になっていたため、リーダーとしての影響力を失ってしまった。彼はそのメンタリティを改め、リスクの特定を称賛するようにした。
「CISOとして日々の生活の中にこの不協和が住み着いていると気づくのは重いことです。何でもやっても、それでも何かが起きる可能性がある。リスクを見落としたかもしれない、十分にやれなかったかもしれない、と」と彼は言う。「とにかく最悪で、精神的にものすごく消耗します」
「リスクはどこかに必ず存在する」
組織がリスクにどう向き合うかは重要だ。なぜなら、気づいていようといまいと、リスク管理がロードマップを動かすからだ、とHillaryは説明する。Hillaryによれば、テクノロジー――セキュリティ、プライバシー、法務、財務の機能を含む――がリスク管理という考え方を推進する集団になりがちだが、本来は全社的な対話であるべきだ。
「現実として、リスクはどこかに存在します」とHillaryはDark Readingに語る。
リスクを進歩と結び付ける効果的なプログラムを整えるには手間がかかるが、より健全なセキュリティ文化につながり得る。要素としては、継続的な脅威の特定と評価に基づいて動く“生きた”リスク管理プログラムを実装することなどがある、とHillaryは言う。
この方法により、アラートが鳴って軽減コントロールが展開されたときに、それらのリスクのオーナーへ確認しやすくなる。インシデントが起きた際に、セキュリティチームへどう連絡すればよいかを人々が理解していることは、大きな差別化要因になり得る――インシデントは起きるものだからだ。
「最高の技術者はセキュリティ志向です」とHillaryは言う。「彼らが安心してこれを共有できるのはいつも嬉しい。見つかったリスクが怖いものでも、『よし、これで分かった』となる。そして旅が始まるのです」
その旅路について透明性を保つことは重要だ。なぜなら、それが企業がインシデントから学ぶ方法であり、同様の状況に直面している他者を助けることにもなるからだ。現在のCISOの価値観――透明性、オープンさ、共有――は、法務チームへの通知や経営層への報告が必要になると、非常に怖く感じられることがある。
「最初の6〜12カ月は最悪ですが、振り返ってみて、何を学んだか、です」とHillaryは付け加える。
リスク登録簿(リスクレジストリ)を持つことも、健全なリスク管理プログラムの重要な要素だ。Hillaryはそれを「宿題を見せる方法」だと表現する。侵害や重大インシデントが起きて弁護士が関与すると、CISOは完全に無能だと感じさせられることがある、とHillaryは警告する。リスクを文書化しておくことは、彼や同業者が誠実に努力してきたこと、つまり手持ちのリソースで組織を守るために最善を尽くしたことを示す。
「精神的にも、少なくともそれを表に出しておくことで(そこに)意図があることが示せます」と彼は言う。「重大な過失がない限り、私たちはもうスケープゴートではありません」
最初からリスク受容を育む
サイバーリスクと脅威が増大するにつれ、CISOが表舞台に出る機会が増えている。顧客は安心するためにCISOを紹介してほしいと望む、とBitSightのCEOであるStephen Boyerは言う。
その結果、CISOとセキュリティチームもまた、顧客と会社のために懸念を安心して表明できなければならない。BitSightのセキュリティ文化は、ある重要な企業価値――謙虚さ――を中心に回っている。つまり、常に学ぶべきことがあり、誰もすべての答えを持っているわけではない、ということだとBoyerは説明する。
BitSightはリスク登録簿も導入し、リスクを確認するためのマイルストーンをプロセスに組み込んでおり、従業員のプレッシャーをいくらか軽減している。組み込みのプロセスとチェックがあるため、問題提起に抵抗があるかどうかが論点ではなくなる。
BitSightは新入社員のオンボーディングの段階からその考え方を組み込んでいるが、リスクを報告できるほど人々が安心できるかどうかは組織文化に左右され、普遍的に固定されたものではない、とBoyerは付け加える。
「競争優位になると思います。人々が問題を提起できると感じられる文化づくりに役立ち、それがより良い結果につながるはずです。問題により早く対処できます」と彼は言う。業界はレジリエンスへと向かっており、それは一定レベルの許容可能な失敗が避けられないことを意味すると彼は付け加える。組織は完全なリスク回避から、レジリエンス構築へと進化してきた。
Boyerによれば、他の経営幹部との会話から大きな変化が明らかになった。差し迫った脅威はサイバー攻撃だけではなく、障害(アウトテージ)もまた極めて大きな混乱を引き起こすということだ。企業はインフラをロックダウンするだけで守られていると感じていたが、攻撃対象領域と攻撃ベクトルは大幅に拡大した。今では、例えばクラウドプロバイダーを1社失うことを前提にしなければならない。
「リスク回避はもはや成り立ちません」とBoyerは言う。
成熟のしるし
Arbor Global AdvisorsのCEO兼CSOであるSelim Aissiは、リスクの透明性は伝えるだけでなく、企業のトップマネジメントが厳格に徹底しなければならないと説明する。取締役会もまた、その透明性を徹底するうえで重要な役割を担い、リスク許容度の設定、経営のリスクフレームワークの監督、戦略との整合の確保、企業幹部への説明責任の追及といったガバナンス上の責務を果たす必要がある、と彼は付け加える。
「CISOであり取締役会メンバーとして、私は個人的に、人々が安心してリスクを報告できることを、最もプロアクティブなリスク特定手法の一つだと考えています」とAissiは言う。それは企業における成熟した情報セキュリティ文化のしるしだという。
監視とリスク評価の手法も重要だ。安心して声を上げられることは一つだが、企業は適切な報告チャネルを確保しなければならない。無秩序にリスクを報告すると有害になり、企業の評判を脅かすさらに大きなリスクにつながりかねない、とAissiは警告する。
Aissiにとって、リスク報告を称えるということは、それらのリスクが真剣に受け止められ、企業のリスク許容度に照らして測定され、適切に管理されることを意味する。
未来はどうなるのか?
困難であることは証明されているものの、業界はサイバーリスクをより客観的に測定する方法へと移行し続けている。増え続けるサイバーセキュリティ課題に対処するために必要なリソースを確保するには、金額と発生可能性の指標を携えて取締役会に臨むことが、ますます重要になっている。
Hillaryによれば、多くのCISOは、取締役会や最高財務責任者(CFO)と財務用語で会話できる段階に到達したいと考えている。しかし、そこに至るには、現在多くの企業が用いている従来型のサイバーリスク評価と比べて、保険数理(アクチュアリー)科学的な発想が必要になる。彼が問うのは、定量的な指標をどう使って、より客観的にするかだ。
「私たちCISOの多くは、『いや、これは難しすぎる。影響度と可能性の5×5マトリクスに戻りたい』って感じです」と彼は言う。「ヒートマップを持って取締役会に出て、『この重要領域のこのピクセルが前四半期に左へ15ピクセル動きました』みたいに言うと、向こうは『それって一体どういう意味?』となる」
場合によっては、CISOという役割は勝ち目のないシナリオになり得る、とHillaryは明かす。「しかしメッセージは『私たちは失敗する運命だ』ではありません」と彼は説明する。「インシデントは起きるのだから、備えられるように思考を鍛えることなのです」
翻訳元: https://www.darkreading.com/cyber-risk/healthy-security-cultures-thrive-on-risk-reporting
