今回は、サイバーセキュリティ被害の発生を受けて多くのCEOが解雇される7つの理由と、それを防ぐ方法を紹介する。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
Equifaxはサイバー攻撃により、「1億4300万人分に上る米国人の個人データ盗難」という過去最大クラスの被害に見舞われた。同社の対応は厳しい目にさらされ、大騒動の中で2017年9月、CEO(最高経営責任者)のリチャード・スミス氏が辞任するに至った。
「これはCEOにとってデータ侵害の怖さを思い出させる厳しい事例だ」と、Gartnerのアナリストでディスティングイッシュト バイスプレジデントのトム・ショルツ氏は語る。
「規制の流れは、サイバー攻撃の報告や防止に関する取締役や経営陣の責任を高める方向に向かっている。攻撃されたらコントロールは不可能だが、組織の対策状況をコントロールしておけば嵐を乗り切ることは可能だ」(ショルツ氏)
Gartnerは、サイバーセキュリティ被害の発生を受けて多くのCEOが解雇される7つの理由と、どうすればCEOが仕事を続けられるかを、以下のように分析している。
多くのCEOが「責任を問われる」ことになる。リスクに適切に関与しなければ、責任を果たしたことにはならない。「セキュリティ担当者に言われた通りにした」では済まないということだ。逆にセキュリティ担当者は経営幹部に対し、セキュリティ防御の観点から自分の判断の妥当性が問われることを納得させ、保身に走ることを戒める必要がある。
経営幹部が強い責任を負うモデル(リスクの責任は、その影響を受けるビジネス領域の統括責任者が負う)を採用すれば、システムのセキュリティ問題が悪化することはなくなる。
多くの取締役がまだ、サイバーセキュリティはIT部門の技術者が手掛ける技術的な問題だと考えている。だが、セキュリティ技術知識を持った適切な人材を採用すれば、攻撃の被害に遭う可能性を減らし、被害を報道されずに済む。
ビジネス上正当な理由があるのかもしれないが、多くの企業にはパッチが一切適用されない少数のサーバが存在する。企業が「何を行うか」について、ビジネス上合理的な決定を下す必要があるのはもちろんだが、自衛のためにさらに重要なのは、企業が「何を行わないか」についても合理的な判断が求められるということだ。
セキュリティスタッフが雇用されているのは専門家だからであり、彼らの仕事は会社を保護することだ。そのため、彼らがセキュリティ問題への対応を一手に担い、理解の浅い「ビジネスの成果」の保護を担当するようになっていることが多い。しかし、「ビジネスの成果」を脅かすリスクはビジネス担当役員のリスクであり、これらの役員をセキュリティに関与させる必要がある。
お金で問題を解決しようとしても、完全な保護を実現することはできないだろう。経常的な業務コストを増やし、会社の機能を損ない、ビジネスの成果に悪影響を与える可能性がある。これを避ける必要がある。
企業が公表する一般的なコメントで、適切な意思決定とは相いれないリスクについての言及がなされることがある。「低リスクの経営行動のみを取る」と約束してはならない。これはビジネス上得策ではないばかりか、仮にリスキーな行動を取った場合、解雇の良い理由になってしまう。
ハッキングされた企業を非難するのは、強盗に入られた銀行を非難するのに似ている。違いは、銀行は非難に耐えられるが、ほとんどの企業は非難に耐えられないことだ。失地回復の第一歩は、問題があったことを認めることだ。そして改善に向けて行動を起こすことが、企業の評判に大きく影響する。
「CEOが解雇されないためには、リスクとセキュリティへのアプローチをリセットする必要がある。セキュリティについての取り組みの目的は、セキュリティ保護上の要件の達成を、ビジネス運営上の要件の達成と両立させることにある」(ショルツ氏)
出典:Keep Your Job After a Cyberattack(Smarter with Gartner)
Director, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.