スティーブ・ダービン氏はInformation Security Forumの最高経営責任者である。同氏は、取締役会の役割におけるサイバーセキュリティとテクノロジーに関する講演を頻繁に行っている。
2025年初頭、企業は週あたり約2000件のサイバー攻撃を経験しており、これは前年比47%の増加である。サイバー犯罪による世界全体の損失は10兆2900億ドルに達すると予想されており、報告されたインシデントの68%はランサムウェアが原因だ。サイバーセキュリティがIT部門の枠を超えたことは驚くべきことではない。今や取締役会における優先事項となり、日々のビジネス上の意思決定に影響を与えている。数字が示す真実を、リーダーたちは受け入れる必要がある。サイバーセキュリティはビジネスセキュリティそのものだ。それはレジリエンス(回復力)を推進し、業績を向上させ、信頼を獲得する。
ITリスクから企業のレジリエンスへ
マークス&スペンサーのような象徴的なブランドがサイバー攻撃により数億ドルの営業利益を失うと、注目は瞬く間にITリスクからビジネスのレジリエンスへと移る。今日のサイバーセキュリティにとって重要なのは、ビジネスを継続させ、売上高を守り、人々がブランドに寄せる信頼を保護することだ。攻撃者はタイミングの良い一撃だけで済むが、防御側は1日24時間、完璧に対応しなければならない。この不均衡は解消されることはなく、リーダーたちはパニックではなく規律をもってこれに対処しなければならない。
サイバーリスクを変革するトレンド
いくつかの強力な力が、今日のサイバー脅威の状況を再構築している。
産業化された犯罪
Crime-as-a-Service(サービスとしての犯罪)により、サイバー攻撃の実行が容易になった。サイバー犯罪者はマルウェアをレンタルし、盗まれた認証情報を購入し、プロセスのあらゆる段階で専門家を雇うことができる。この分業化によりコストが削減され、攻撃実行に必要な時間が短縮された。これにより、企業への継続的かつ低労力での探索が可能になっている。
パーソナライズされたソーシャルエンジニアリング
豊富な公開データ、ディープフェイク音声ツール、洗練されたフィッシングテンプレートを使い、攻撃者は特定の人物を狙ったメッセージを作成する。多忙な最高財務責任者(CFO)や買掛金担当者は、完全に正当に見える誘導メッセージを受け取る可能性がある。攻撃者が世界中で毎日40億通もの悪意あるメールを送信していることを考えれば、フィッシングが最大の脅威であり続けているのも不思議ではない。
双方で活用されるAI
生成AIは攻撃者が言語の壁を打ち破り、大規模にパーソナライズされた攻撃を実行するのを支援する。一方、防御側はAIを使用してアラートを分類し、異常な活動をより迅速に発見する。しかし、自動化だけではサイバーリスクを完全に排除することはできない。意思決定を行うには、強力なリーダーシップ、規律ある実行、そして人間による監督が必要だ。
地政学的混乱
国家が犯罪グループと協力する際、スパイ活動、妨害、利益追求がしばしば重なり合う。その結果、サプライチェーンが弱体化し、地域紛争が世界的な詐欺へと波及する。サイバーセキュリティは戦略や地政学と結びつける必要がある。なぜなら、リスクへの露出は文脈に依存するからだ。
今日における「優れた」サイバーセキュリティとは
経営幹部は、効果的なサイバーセキュリティリーダーシップが何を意味するのかを再定義しなければならない。いくつかの実践が際立っている。
サイバーをビジネスアジェンダに位置づける
技術的な報告ではなく、ビジネスに対する戦略的リスクとして提示する。セキュリティに関する議論を戦略、オペレーション、資本計画、地政学的文脈と結びつける。サイバーリスクが取締役会のリスク委員会に可視化され、一貫したKPI(重要業績評価指標)によって支えられるようにする。
財務的文脈でリスクを評価する
業務停止、データ整合性の問題、サプライヤーの混乱、規制上の罰金といったサイバーシナリオから生じる「リスクにさらされた利益」を評価する。これを他の戦略的リスクと比較する。影響モデリングを適用し、管理策、保険、レジリエンスのための予算を優先順位付けする。
レジリエンスの本能を強化する
法務、オペレーション、財務、コミュニケーション、経営チームと共に対応を練習する。ランサムウェア、SaaS侵害、サプライヤー障害を含むテーブルトップシナリオをシミュレートする。このような演習は、意思決定、内外のコミュニケーション、復旧努力の優先順位付けを評価する。
人間という入口を保護する
人々は依然として攻撃者にとって容易な標的である。一般的なトレーニングを、カスタマイズされた役割別の指導とタイムリーなプロンプトに置き換える。強力な認証方法を使用し、昇格されたアクセスを必要な役割のみに制限する。成功は、完了したトレーニングモジュールの数ではなく、変化した行動によって測定する。
サードパーティを拡張エンタープライズとして管理する
戦略的サプライヤー、特にクラウドサービスとマネージドサービスプロバイダー(MSP)に焦点を当てる。すべての契約に明示的なセキュリティ要件と侵害報告期限を含める。プロバイダーが障害やダウンタイムを経験した場合の代替計画を確立する。
人間による監督のもとでAIを使用する
トリアージと封じ込めを自動化し、滞留時間を最小限に抑える。誤検知や回避といったリスクを追跡する。ベンダーにモデルの起源を明確に文書化し、自動化を覆す人間の権限を保証するよう要求する。
重要なことを測定する
検知までの時間やパッチ適用の頻度といった運用指標を、リスクにさらされているシステムや売上高へのエクスポージャーといったビジネス指標と組み合わせる。明示されたリスク選好度に対するトレンドラインを報告する。アラート数の増加ではなく、リスクの削減を称賛する。
リーダーのように考える
現代のデジタル市場において、サイバーセキュリティはもはや選択肢ではない。最も効果的なリーダーたちは、3つの原則に導かれている。
1. 複雑さよりも明確さ
攻撃者は混乱の中で繁栄する。システムを合理化し、技術の拡散を削減し、管理策を統一する。安全な選択肢を選びやすくする。
2. 管理と連携したスピード
特権アクセス、IDの健全性、バックアップのレジリエンスといった重要な領域では迅速に行動し、同時にガバナンスを強化する。しかし忘れてはならない。抑制されないスピードはエクスポージャーを増大させ、過度な管理でもギャップは残る可能性がある。
3. レジリエンスの力
混乱は起こるものだが、それを迅速に発見し、オープンにコミュニケーションを取り、目的を持って復旧する組織は、信頼を保護し、真の優位性を獲得できる。
サイバーセキュリティは不可欠な経営規律となった。攻撃の数が増加する中、強力なガバナンス、明確な行動、人々の優先順位付けがバランスを変えることができる。サイバーセキュリティはすべてのリスクを排除することではない。それは、信頼が最も価値ある資産であるデジタル経済において、レジリエンス、明確さ、目的を持って対応することなのだ。
