アドバイザリー

直ちに講じるべき措置:サイバーセキュリティ脅威への取締役レベルの関与

サイバーセキュリティに関わるリスクはかつてないほど高まっています。

企業の価値は知的財産や市場データ等の情報にこれまで以上に依存するようになっています。そればかりか、ビジネスに必要なデータの量はさらに増え、ますます分散的で、流動的で、ダイナミック.なものとなっています。

こうした現実は、デジタル資産を防御することは取締役会の最優先事項となることを決定づけています。

それにもかかわらず、ほとんどの取締役はサイバーセキュリティ対策の必要性を漠然としか理解しておらず、侵害を検知し、対処するための準備を整えることの重要性を見過ごす可能性があります。十分な時間とリソースさえあれば、どんなシステムも侵入を受ける可能性があります。

サイバー攻撃を可能にするテクノロジーは、こうした攻撃からシステムを守るためのテクノロジーと同じくらい急速に進化しつつあります。しかも、侵犯の原因はテクノロジーでは完全には防ぐことのできないセキュリティ上の人的ミスや「ソーシャルエンジニアリング」であることが少なくありません。

多くの国・地域では、データ侵害が発生した場合はその事実を開示することが法律で定められているため、攻撃に備えることが特に重要となります。

開示が不正確または不完全だった場合、侵犯の影響はさらに大きくなり、規制機関による調査を招いたり、世間から厳しい疑いの目を向けられたりする可能性があります。また、侵犯に対応する準備ができていないというメッセージを、未来の攻撃者に送ることにもなりかねません。

取締役は経営陣と連携して、自社の脆弱かつ重要な情報資産を識別し、優先付けする必要があります。例えば、下記のような情報源には保護すべき重要な財務情報が含まれている可能性があります。

  • データベースシステム
  • PCに保存された設計図
  • ネットワーク上の共有作業スペースに保存されている調書
  • Eメール
  • ソーシャルメディア

情報が保存されている場所によって、検知、調査、方針、手続およびテクノロジーに関する課題は異なります。しかし、高度なツールは、Eメールのようなごく一般的なシステムの中からであっても、最も価値の高い情報、または最も重要な情報を特定するために業界特有の検索・分析技術を利用することができます。

サイバーセキュリティに関する法律や規制制度は、国や地域によって異なります。また、悪意はなくても、従業員や顧客との関係悪化につながった行動を調査する際は、文化的背景にも配慮しなければなりません。

現代の企業にとって、サイバーセキュリティは組織の財務的健全性を左右する問題であり、取締役会の大きな関心領域です。

多くの企業がデータへのアクセスを未然に防ぐことに注力していますが、発生したインシデントを検知し、対応することの重要性を認識している企業はごくわずかです。このような認識を持つためには、セキュリティ侵犯は単に可能であるだけでなく、発生する可能性が高く、おそらくは不可避ですらあるという事実を認めることが不可欠です。

迅速に、包括的に、かつ正確に侵犯に対応することはサイバーセキュリティの基本であり、こうした攻撃に備えるためには取締役会の参加は必須です。