マクスウェル・アレス氏、CEO、アレス・テクノロジー。資産運用業界向けサイバーセキュリティの第一人者。
長年にわたり、サイバーセキュリティは主に技術的な問題として扱われ、IT部門に任され、経営幹部の日常的な関心事からは遠く離れた存在だった。経営幹部は予算を承認し、定期的な報告を受け、脅威を寄せ付けないことを専門家に大きく依存していた。このアプローチは急速に時代遅れになりつつある。
今日、あらゆる業界において、サイバーセキュリティは明確なリーダーシップの責任へと進化している。規制当局、保険会社、顧客、裁判所は、技術チームだけでなく、経営幹部に対してサイバーリスクの理解と監督を求めている。専門家がますます「サイバーアカウンタビリティ時代」と呼ぶ時代に突入しており、リーダーはサイバーリスクが経営レベルから積極的に管理されていることを証明しなければならない。
サイバーリスクは今や中核的な事業リスク
その理由は明快だ。サイバーインシデントは、バックオフィスに委ねるには高額かつ破壊的になりすぎた。IBM「データ侵害のコストに関する報告書2025年版」によると、侵害の平均コストは444万ドルに達している。決して小さな金額ではない。
この数字には、技術的な修正をはるかに超えるものが含まれる。規制当局の調査、法的費用、業務停止、事業損失、そして長期的な評判の毀損などだ。
多くの侵害は、純粋に技術的な障害ではなく、人的要因に起因している。ベライゾンの「データ侵害調査報告書2025年版(DBIR)」では、人的要素が侵害の約60%に関与していることが判明した。エラー、ソーシャルエンジニアリング、または不正使用を通じてである。
これはリーダーにとって重要なポイントを強調している。サイバーセキュリティの破綻は、技術的な欠陥だけでなく、トレーニング、文化、ガバナンス、監督に関する組織的な意思決定にまで遡ることが多いのだ。
米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の元長官であるジェン・イースタリー氏は、「米国企業はサイバーリスクをあるがままに扱わなければならない──それは存亡に関わる事業リスクである」と指摘する。企業は準備を整えなければならない。なぜなら、「すでに混乱に備えた計画を立てていないのであれば、遅れをとっている」からだ。
規制当局は期待を強化している
規制は、サイバーセキュリティを経営幹部の領域に押し上げる主要な推進力である。米証券取引委員会(SEC)のサイバーセキュリティ開示規則は現在、上場企業に対し、重大なサイバーインシデントを4営業日以内に報告し、年次10-K報告書でリスク管理、戦略、ガバナンス(取締役会の監督を含む)を詳述することを義務付けている。
SEC規則S-Pの改正は、金融機関における特定の侵害に対するインシデント対応プログラムと通知を義務付けている。
これらの規則は上場企業と金融機関を対象としているが、より広範な期待は明確だ。組織はリーダーシップレベルでのサイバーリスク管理を実証しなければならない。
専門家はこれを強調している。ハーバード・ロー・スクール・コーポレート・ガバナンス・フォーラムは、サイバーセキュリティを取締役会の継続的な優先事項として強調しており、2025年から2026年の議論では、監査委員会がAI強化型攻撃などの進化する脅威に対処し、取締役会にサイバー専門知識を求める必要性が指摘されている。
そして、長年のサイバーセキュリティ専門家であるアントニオ・サンチェス氏は、最高情報セキュリティ責任者(CISO)が最前線にいる一方で、「しばらくの間、サイバーセキュリティイベントの責任は徐々に上層部へと移行してきた。ますます、それは直接トップに向かっている」と述べている。
リーダーシップの意思決定がサイバーの結果を左右する
侵害が単独で発生することはまれだ。それらは、予算、ベンダー管理、トレーニング、戦略の整合性に関する以前の選択から構築される。
4000人以上の経営幹部を調査したPwCの「2025年グローバル・デジタル・トラスト・インサイト」は、継続的なギャップを明らかにした。多くのリーダーがサイバーを戦略的なものと認識している一方で、サイバー戦略と事業優先事項の完全な整合性には課題が残り、経営幹部間のより良い協力、リスクの定量化、積極的なレジリエンスが求められている。
以下は、私が全国の金融サービス企業のリーダーに助言している6つの実践的なステップである。
1. 四半期ごとの経営幹部サイバーリスクレビューを実施する
サイバーリスクは、リーダーシップレベルで定期的な注意を払うに値する。四半期レビューは実践的な質問に焦点を当てるべきだ。最も現実的な攻撃シナリオは何か。最近どのような脆弱性が出現したか。組織はランサムウェアやデータ窃取にどの程度備えているか。
これらの議論は、サイバーリスクを可視化し、実行可能な状態に保つ。
2. 組織の「王冠の宝石」を特定する
すべての企業には、他よりも重要なデジタル資産がある。顧客データ、知的財産、財務システム、または業務プラットフォームだ。
経営幹部は、それらの資産が正確に何であるかを知り、サイバーセキュリティ投資がそれらの保護を優先することを確実にすべきだ。
3. 経営幹部レベルのサイバーシミュレーションを実施する
多くの組織にはインシデント対応計画があるが、リーダーシップを巻き込んでテストする組織ははるかに少ない。
卓上演習により、経営幹部はランサムウェア攻撃や大規模なデータ侵害などの現実的なシナリオを体験できる。これらの演習は、意思決定、コミュニケーション、または規制報告におけるギャップを明らかにすることが多い。
4. サードパーティの監督を強化する
現代の侵害の多くは、ベンダーやパートナーを通じて始まる。リーダーは、ベンダーのサイバーセキュリティ慣行、アクセス権限、侵害通知義務が明確に理解され、管理されていることを確実にすべきだ。
5. サイバーセキュリティを事業戦略と整合させる
サイバーセキュリティ投資は、事業優先事項を直接サポートすべきだ。顧客の信頼を保護し、知的財産を守り、業務の継続性を確保することだ。
経営幹部は、セキュリティ支出が最も重要な資産を保護しているかどうかを定期的に問うべきだ。
6. サイバー意識の文化を構築する
ほとんどの侵害には人間の行動が関与しているため、従業員の意識が重要だ。トレーニングプログラム、フィッシングシミュレーション、明確な報告チャネルは、リスクを劇的に減らすことができる。
同様に重要なのは、リーダーがサイバーセキュリティを真剣に扱うと、従業員もその例に従う傾向があることだ。
サイバーアカウンタビリティ時代のリーダーシップ
サイバー脅威は衰えていない。むしろ加速している。攻撃者は現在、自動化、AI、グローバルに調整された犯罪ネットワークを使用して、業務の規模と洗練度の両方を拡大している。
しかし、最も重要な変化は技術的なものではないかもしれない。それは組織的なものだ。サイバーセキュリティはもはやサーバールームに閉じ込められたり、IT部門だけに委ねられたりするものではない。新たなサイバーアカウンタビリティの時代において、責任は明確に経営幹部へと移行している。組織がセキュリティツールを展開したり、書面による方針を維持したりするだけでは、もはや十分ではない。リーダー自身がサイバーリスクを理解し、それを自分のものとし、中核的な事業責任として積極的に統治しなければならない。
