マイク・マディソン氏は、グローバルなサイバーセキュリティおよびレジリエンス企業NCCグループのCEOである。より安全なデジタルの未来を創造するために協働している。
今日のデジタル経済において、サイバーリスクはもはや戦術的な業務上の懸念ではなく、戦略的な取締役会レベルの優先事項である。サイバー脅威、規制当局の監視、技術変化の加速するペースは、評判上のリスクがかつてないほど高まっていることを意味する。レジリエンス(耐性)は今や実存的な課題となった。しかし、あまりにも多くの取締役会が、サイバーセキュリティを成長と信頼の戦略的推進力としてではなく、コンプライアンスのチェックボックスとして扱っている。
2025年、相次ぐ注目度の高いサイバー攻撃が取締役会に不眠の夜をもたらし、「次は我々が標的になるのでは」と問いかけた。被害を受けたグローバルブランドの名簿は我々全員にとって馴染み深いものだが、それほど明白ではないのは、恩恵を受けたブランドの存在である。
英国では、M&Sがサイバー攻撃に苦しむ中、小売業界の競合であるNextが「競合の混乱」を予想外の売上成長の主要な推進力として挙げた。Nextのサイバー防御について推測することはできないが、業界全体の脅威をうまく乗り切ることが機会をもたらし得ることは明らかである。どの企業も100%安全であることはできないが、レジリエンスは競争優位性となり得る。
以下は、リスクを競争優位性に変えるための5つの要点である。
1. 取締役会とCISOの相互理解を促進する
CISOと取締役会はしばしば異なる言語を話し、互いにコミュニケーションに苦労している。私自身、かつてCISOであり、現在はサイバー企業のCEOとして、この関係を両方の視点から経験してきた。取締役会の観点からは、CISOは投資と優先順位付けを求める多くの利害関係者の1人である。一方、CISOにとって、取締役会は積極的な資金源から、ボトルネック、最悪の場合は障害物まで、様々な存在となり得る。
組織がレジリエントになりたいのであれば、取締役会とCISOの相互理解を深める必要がある。取締役会は、技術的リスクを財務的・業務的影響に変換する、明確で専門用語のない報告を要求すべきである。CISOは、データ過多なしに評価し結論を導き出すための洞察とツールを取締役会に提供すべきである。技術的・戦術的な詳細に埋没するのではなく、企業レベルのリスク、テーマ、影響において共通の基盤を見出すことができる。CISOは「権力に真実を語る」必要があり、取締役会の責任を強化し、取締役会が心から追い出したいと思っている懸念を表面化させなければならない。
2. サイバーレジリエンスを戦略的推進力として認識する
取締役会として、決して完全には防御できない境界線を「保護する」というチェックボックスを超えて、より広い視野を持つ必要がある。サイバーレジリエンスはあらゆる事態に備え、侵害される可能性を前提とし、影響を軽減するための計画、リハーサル、緊急時対応の策定を含む。サイバーレジリエンスは成長のレバーであり、組織の評判、収益、リソースへの投資である。
国家は、サイバーレジリエンスを公に優先すること(そしてその言葉を資本支出で裏付けること)が対内投資を引き付けることができると認識している。取締役会もこれに倣うべきである。サイバーレジリエンスは、政治的・経済的混乱によって定義される時代において、組織を際立たせることができる。組織のリスクを軽減し、長期的な投資を引き付けるために、どのようにサイバーレジリエンスを推進できるだろうか。
3. レジリエンスの文化を推進する
希望は戦略ではない。サイバー攻撃に関しては、「もし」ではなく「いつ」の問題である。したがって、回復速度が重要な差別化要因となる。取締役会は、パッチ数やファイアウォールログではなく、平均回復時間、財務的エクスポージャー、事業継続計画といった重要な指標を要求すべきである。レジリエンスはビジネス目標、すなわち継続性、信頼、長期的価値と一致する。
サイバーインシデントを経験することが、必ずしも評判を損なうわけではない。適切な内部統制と監視を持ち、データを安全に暗号化し、透明性と影響力を持ってコミュニケーションを取る組織は、サイバーインシデントが公的信頼を損なうのではなく、むしろ強化することができる。シナリオ計画とサイバー攻撃への対応のリハーサルを通じて培われた同じ筋肉記憶は、あらゆる事業継続の課題に転用可能である。サイバーレジリエンスは、経営幹部から始まる文化的課題である。すべてのリーダーが果たすべき役割があり、取締役会がその基調を設定しなければならない。
4. サプライチェーンを把握する
2025年、サプライチェーンは世界最大級のブランドにとって開かれた(裏口の)扉となった。Coupang、サプライチェーンセキュリティの現状調査では、68%の組織がサプライチェーン攻撃の深刻度と規模が拡大すると予想しており、59%がサプライチェーンの可視性について懸念していることが判明した。
特定された重要な問題は、取締役会と、サイバー脅威の日常的な現実を目の当たりにしている技術職の間の懸念のギャップであった。取締役会が最終的に第三者リスクの責任を負う一方で、実際には責任がコンプライアンス部門とCISOに委ねられることが多い。すべての証拠は、第三者リスクを優先しない取締役会が厳しい現実に直面することを示唆している。
5. 企業ガバナンスにおけるサイバーリスクを格上げする
サイバーリスクはビジネスリスクである。取締役会はこれをガバナンスに組み込み、財務的・業務的優先事項と同じ厳格さで扱わなければならない。これは、サイバーを戦略計画、リスク許容度、資本配分に統合することを意味する。
許容可能なエクスポージャーの明確な閾値を定義し、投資決定がレジリエンスのニーズを反映するようにする。インテリジェントな検知、インシデント対応の準備、テストのための予算を、裁量的支出としてではなく、長期的価値の推進力として配分する。定期的なシナリオ演習と危機シミュレーションには、取締役会とリーダーシップが参加し、プレッシャー下での意思決定を検証すべきである。業界の同業他社や規制の枠組みに対してレジリエンスをベンチマークし、ギャップを特定する。
反応的なコンプライアンスから積極的なレジリエンスへと移行する取締役会は、脅威を軽減するだけでなく、信頼、成長、競争優位性を創出する。
結論
サイバーレジリエンスは競争優位性となり得る。組織が衝撃を吸収し、より強靭に立ち直ることを可能にする。レジリエンスをガバナンス、文化、資本戦略に組み込むことで決定的にリードする取締役会は、次の混乱の波を生き延びるだけでなく、その中で繁栄する。適切に実行されれば、レジリエンスは成長の触媒となり、組織がより速く、より確実に前進することを可能にする。
CEOと取締役会が個人的に関与し、準備態勢、責任、文化について率直で対等なレベルの会話を行う時が来た。我々は皆、サイバー攻撃のコストを目の当たりにしてきた。取締役会は今、サイバーレジリエンスが表し得る競争優位性を支持しなければならない。
