英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介：無礼で辛辣な表現が必要な場合も

英国の国家サイバーセキュリティセンターは、サイバーリスクについて取締役会メンバーと話し合う方法を解説するガイドラインを公開した。多忙な取締役会メンバーに関心を持ってもらうヒントが紹介されている。

[＠IT]

　英国の国家サイバーセキュリティセンター（NCSC）は2024年10月7日（英国時間）、サイバーリスクについて取締役会メンバーと話し合う方法を解説するガイドラインを公開した。ガイドラインでNCSCは「明確に伝える」という項目を以下のように説明している。

取締役会メンバーにサイバーリスクを分かってもらうには？

　多忙な取締役会にサイバーへの関心を持ってもらうには、彼らのビジネスマインドに響く言葉でコミュニケーションをとり、インパクトを最大化するために（技術的な詳細は最小限に抑え）、ビジネスに焦点を当てたアプローチで簡潔に最新情報を共有する必要がある。

シンプルにする

　取締役会から最も頻繁に寄せられる苦情は、サイバー専門家がトピックを説明する際に専門用語や専門的な言葉を使うというものだ。これでは、多くの取締役会メンバーがサイバーセキュリティの理解、関与に苦労するのは当然といえる。適切なコミュニケーションのレベルや言語は組織によって異なるが、専門用語や略語を使わない自然な表現が重要で、シンプルな説明が常に効果的だ。

　取締役会は複数のテーマを扱い、頭を切り替えていかなければならないので、シンプルな説明は効果が高くなる。

　例えば、「ファイアウォールは、組織に出入りするネットワークトラフィックを制御する」という定義は、単純化し過ぎず、恩着せがましくもない。臆することなく、自身が考える「著しく抽象的なレベル」で物事を説明してほしい。必要であればいつでも詳細を追加できるし、詳細から始めて基本レベルに戻るよりはずっと簡単だ。

　技術チームは、システムの名前か、そのシステムを提供するベンダーの名前（あるいはその両方）について話す傾向がある。これは役に立たない。「当社のエンドポイントプロテクションは『CyberPro18.2』です」と話してはいけない。代わりに、「ウイルスやその他のマルウェアからPCやサーバを保護する」ことを話す必要がある。

　取締役会が望むのであれば、理解を助けるために図や画像を使うようにする。

少ない方が効果的

　簡潔であることが良い。つまり言葉を少なくする。技術チームと話すときよりも、見出しを多く使い、文章の量は抑える。「エグゼクティブサマリー」（自身の主張全体を要約したもの）は、「イントロダクション」（読者にさらに読むことを義務付けるもの）よりも好まれる。

　これは話の重要な部分を伏せたり、省いたりすることではなく、完全でバランスの取れた見解を述べる必要があるということで、簡単ではない。ときには無礼で辛辣（しんらつ）な表現をしなければならないこともあるが、話を聞いてもらいたければ、努力する必要がある。

　題材が複雑であればあるほど（そしてサイバーセキュリティは複雑であるほど）、言葉を簡潔にする必要があることを忘れてはならない。これを裏付ける多くの証拠やユーザビリティ研究がある。誰もが分かりやすい言葉を好む。各分野の専門家である取締役も、何ページにもわたる無味乾燥な技術的文章を読む時間はない。

準備とリハーサル

　技術的な知識が豊富でも、技術的な詳細や言い回しに流されることなく、すらすらと説明するのは難しい。

　目上の人々にプレゼンするのが苦手な場合、あるいは取締役会が少し怖い場合は、プレゼンの際のパートナーを見つけよう。理想的なのは、取締役会や役員チームにサイバーセキュリティに精通した「サイバーチャンピオン」が存在することだ。彼らはコンテンツの作成や質疑応答の手助けをしてくれる。

　また、上司やサイバーセキュリティ担当役員に必ず内容を確認、テストしてもらう。彼らにも上司がいる。彼らも、取締役会が目にするコンテンツで驚いたり恥をかいたりしたくないだろう。

　サイバーセキュリティについての話は、しばしば恐怖を誘うものだ。この現実的な脅威をどのように管理し、軽減できるかを示す冷静で慎重なコミュニケーションによるプレゼンをすることで、その恐怖に対処できる。そのためにはトーンとボディーランゲージが重要であり、自分のやってきた仕事と目の前の課題に対して、明るく前向きであるべきだ。

まとめ

　このアドバイスに従うことで、この重要な戦略的トピックに関する取締役会メンバーとのエンゲージメントを向上できる。そうすることで、必要な投資やリソースを受けられる可能性が高くなり、最終的にサイバーセキュリティのリスクを低減し、ビジネスが価値創造に集中できるようになるだろう。