LogRhythm社長兼CEO、マーク・ローガン
ここ数か月にわたる大規模な侵害を受けて、さまざまな業界の組織がサイバーセキュリティ戦略の見直しを進めており、セキュリティチームとテクノロジーソリューションが進化する脅威の状況のニーズに対応できるように、多くの組織が優先順位を再調整しています。
サイバーセキュリティは、組織の競争優位性にとって不可欠な要素です。しかし、IDGの2020年セキュリティ優先事項レポートによると、企業のセキュリティ担当幹部のうち、CEO直属の部署に所属しているのはわずか34%です。企業がセキュリティを真剣に考えようとするなら、最高情報セキュリティ責任者(CISOまたはCSO)は単に役員室に所属するだけでは不十分であり、CEOに直接報告する必要があることを認識する必要があります。
ゼネラル・エレクトリック(GE)の元会長兼CEO、ジャック・ウェルチは、フォーチュン500企業のCEOの中で、人事部長を直属の部下とした最初の一人であり、この変化は人材管理に革命をもたらしました。今、サイバーセキュリティにも同様の変革が起こっています。サイバーセキュリティは、多くの組織において優先事項のトップ10にもほとんど入らなかったものが、ここ数年で企業監督上の最重要課題のトップ3にランクインするまでに成長しました。
セキュリティリーダーシップが組織の貴重なデータと評判を守るためには、このような経営改革が急務です。この変革に失敗する企業は、ますます厳しさを増すサイバー脅威環境にさらされる可能性が高くなります。
最適なビジネスパフォーマンスを可能にする報告構造の採用
今日のサイバー脅威はテクノロジーベンダーに限ったものではありません。しかし、侵害を受ける可能性のある製品を持つ企業は、最近の侵害事例に見られるように、雪だるま式に被害が拡大し、リスクが指数関数的に増大する可能性があります。
CSOがCEOに直接報告する体制は、サイバー攻撃のニュースが人々の関心事であり、信頼の維持が極めて重要である時代に、企業がビジネスパフォーマンスの実現手段としてサイバーセキュリティを重視していることを示すものです。この報告体制は、セキュリティとデータプライバシーが真剣に受け止められ、社内で最優先事項として扱われていることを、消費者や将来のビジネスパートナーに信頼感を与えることにもつながります。
セキュリティチームの採用と維持
熟練したサイバーセキュリティ人材の不足は深刻化し続けており、これらの重要なポジションの充足は非常に競争が激しくなっています。適切な訓練を受けた人材の需要は、多くのセキュリティチームの人員を逼迫させる可能性があり、経営幹部がセキュリティを最優先に考えていない場合、職務のストレスは増大するだけです。こうした状況は、組織におけるCSOの離職率の上昇につながり、組織のリスク軽減能力に悪影響を及ぼす混乱を引き起こす可能性があります。LogRhythmの2020年セキュリティチームの現状レポートによると、セキュリティ専門家の75%が2年前と比較して仕事関連のストレスが増加しており、調査対象となったセキュリティチームの57%が、自社のセキュリティプログラムに適切な経営幹部のサポートが不足していると感じていることが明らかになりました。
CSOがCEOに直接報告することで、チームメンバーはCSOが組織において権限を与えられたメンバーであることを認識します。つまり、潜在的な採用候補者や既存の従業員は、従業員のニーズに対応し、育成を促進し離職率を低減するリソースを備えたリーダーから、より強いサポートを受けていると感じるでしょう。
LogRhythmでこの構造を実現する
多くの組織は「フィルタリング」に苦労しています。これは、報告体制の最適化が不十分なために、貴重なセキュリティ情報が伝達されずに失われてしまうことです。例えば、CSOがCIOに報告し、CIOがCFOに報告し、CFOが最終的にCEOにメッセージを伝えるとします。これはボトルネックとなり、セキュリティプログラムのニーズと組織へのリスクが、コミュニケーションのチャネルの遅延によって軽減されるため、予算や組織的なサポートの減少につながる可能性があります。
LogRhythmでは、CSOを含む直属の部下たちが週2回集まり、市場動向、製品戦略、そして重要な問題や課題について議論しています。CSOがこれらの会議に参加することで、LogRhythmのリーダーシップチーム全体と私に、絶えず変化するサイバーセキュリティの状況を伝えることができます。私たちは現場や製品の現状を直接知ることができます。こうした相互交流は非常に貴重です。
将来を見据えて
今日のサイバーセキュリティの現実は、組織がセキュリティプラットフォームに十分な注意を払わなければ、悪意のある攻撃者が必ずやってくるということです。積極的な対策は、CSOとそのセキュリティチームが、自分たちの声がきちんと聞き届けられていると感じ、彼らがもたらす独自の知見が経営陣全体に伝わっていることを確認することから始まります。
サイバー侵害の発生件数が増加し、ほぼ毎日新たなニュースが報道されているにもかかわらず、あまりにも多くの企業が依然としてその緊急性を認識していません。 サイバーセキュリティは、ソフトウェアやセキュリティ業界だけでなく、あらゆる企業にとって、今や取締役会レベルの取り組みとなっています。CSOを最前線に据える組織構造の変革に取り組まない企業は、重要な人材を失う可能性があります。さらに懸念されるのは、セキュリティが優先されなかったために組織が深刻な侵害に見舞われた場合、特に消費者の信頼とビジネス価値の低下を招く可能性があることです。
