もし「CISO向け取締役会報告テンプレート」といった記事を読んで「ああ、確かにうちの取締役会もセキュリティ態勢ダッシュボードに25分割いて、脆弱性 バーンダウン速度について追及してくるに違いない」と思ったことがあるなら、素晴らしい知らせがあります:あなたはまだ十分な数の取締役会に出会っていないのです。
ほとんどの企業の取締役会はセキュリティダッシュボードを望んでいない。セキュリティ態勢の指標も望んでいない。NASAの打ち上げリスクブリーフィングのようなヒートマップも望んでいない。彼らが求めているのは、明言しているかどうかに関わらず、意思決定支援である。
彼らは競合するリスクシナリオの中から選択するための正当化可能な方法を求めている。緩和策AとBのどちらに投資すべきか知りたいのだ。不確実性を減らしたい。キャリアを終わらせるような予期せぬ事態を避けたい。そしてここが、ほとんどのセキュリティ責任者が聞きたくない部分だ:
取締役会がセキュリティに資金を投入するのは、それが重要だからではない。その決定が合理的で、範囲が限定され、正当化できると感じられる時に限って資金を提供するのだ。
それでは、それを実現する方法について話し合いましょう。
なぜ取締役会はセキュリティを重視しないのか
取締役会はセキュリティに反対しているわけではない。無謀でも愚かでもない。単に構造的、文化的、心理的に結果の議論に最適化されているのだ。
セキュリティは奇妙な分野だ。なぜなら最良の結果とは、何も起きないことだからだ。見出しにもならない。混乱もない。緊急会議もない。身代金交渉もない。突然の「どうしてこんなことが起きたのか?」という電話もない。
そして「何も起こらなかった」という結果は、取締役会が容易に評価できるものではない。それは虚無だ。仮説だ。反事実だ。怪談話だ。だから取締役会は当然、あらゆる人間が陥る思考パターンに陥る:
「今のところ何も起きていない。」
これは悲劇的なまでに魅惑的な論理だ。同時に企業史上最も高価な一文でもある。問題は、証拠の欠如が不在の証明にはならないことだ。むしろそれは、運や不透明さ、あるいは検知能力の低さを示す証拠であることが多い。取締役会がここで非合理的な判断をしているわけではない。彼らは他の場面でも用いるのと同じ論理を適用しているのだ:
- 出荷すれば、収益が見込める。
- マーケティングを行えば、パイプラインが見えてくる。
- 採用すれば、生産性向上が見込める。
- コストを削減すれば、利益率が見えてくる。
しかしセキュリティは? その成功指標はネガティブな空間だ。だから、決断が具体的で境界のあるものだと感じさせない限り、セキュリティは常に「あればいいもの」に追いやられる。
なぜ「信じて、これは大事なんだ」が絶対に通用しないのか
ボードレベルでのセキュリティプレゼンテーションには、主に2種類ある:
どちらのアプローチも誤りであり、どちらも失敗する。取締役会はパニックにうまく対応できない。なぜならパニックは計画ではないからだ。パニックは感情的な信頼を求める行為であり、取締役会は感情に流されないよう明示的に設計されている。
取締役会は「すべて順調です」という回答を好まない。なぜなら、それだと追加資金が必要な理由を問われることになるからだ。CISOは、天が落ちてくると騒ぐチキン・リトルのように聞こえるか、過剰な資金を得た官僚のように聞こえるかの綱渡りを強いられている。取締役会に恐怖を感じさせたくはない。明確さと確信を感じてもらいたいのだ。
取締役会が実際にROIとリスクをどう考えているか
セキュリティ責任者は往々にして、マーケティングや営業部門のように「ROIを証明しよう」と誤った試みをする。取締役会はセキュリティを収益と同じように捉えない。リスクや保険、レジリエンスと同じ視点で考えるのだ。
簡略化したボードのメンタルモデルは以下の通りです:
- 競合他社は何をしているのか?
- 予想損失額はいくらですか?
- それを削減するにはどれほどのコストがかかるのか?
- その確率はどれくらいですか?
- その影響は何か?
- 不確実性とは何か?
- 最悪の想定可能な運用結果とは何か?
セキュリティフレームワークは予防志向になりがちだ。十分な統制を実装し、十分なツールを購入すれば、悪い事態を防げると想定している。取締役会はセキュリティチームが時に忘れる事実を理解している:予防は二者択一ではない。失敗は避けられない場合もある。情報セキュリティの定説にあるように、問題は「侵害されるかどうか」ではなく「いつ侵害されるか」である。これが取締役会が保険には資金を投入する一方で、セキュリティツールへの支出増には抵抗する理由だ。
保険は限定された金融商品である。保険料、契約書、支払い金がある。全てをカバーしない場合でも、それは馴染み深い意思決定の枠組みだ。
セキュリティ投資はしばしば無期限のコミットメントとして提示される:
- 「プラットフォームが必要です。」
- 「プログラムが必要です。」
- 「より良いセキュリティ体制が必要です。」
- 「より多くのツールが必要です。」
経営陣は「見えない敵と永遠に戦うために、白紙の小切手が必要です」と耳にします。これは経営陣にとって受け入れやすい要求ではありません。経営陣は意思決定のために選択肢を求めています。
侵害の真のコスト
ほとんどの侵害コストに関する議論は、表面的な部分に留まっています。
- 罰金
- 和解金
- 広報上の損害
これらは重要ですが、運用上の現実はより深刻で、より関連性が高いものです。侵害の真のコストは、最も希少なリソースであるエンジニアリングの集中を強制的に再配分することです。重大なインシデントは、単にお金がかかるだけではありません。計画された作業を中断させ、数四半期分の開発を奪います。
インシデント対応は、「IT部門が単に問題を解決する」だけではありません。真のインシデント対応には以下が含まれます。
- サービスから外された証拠保全対象デバイスを必要とするフォレンジック調査
- ハードウェアの更新 (侵害されたエンドポイントを信頼できないため)
- 緊急のIDリセットとアクセス権の再設計
- プレッシャーの下でのクラウドの再アーキテクチャ
- シークレットと証明書の再発行
- バックアップの再検証 (これらも侵害されている可能性があるため)
それは煩雑で、費用がかかり、業務を中断させます (Caesarsや23andMeに尋ねてみてください)。
顧客の信頼と離反もまた、理論上の問題ではありません。顧客のロイヤルティは獲得が難しく、失われやすいものです。特に、更新サイクルが自然な出口となるエンタープライズ契約においては顕著です。
侵害後、問題は「攻撃者はどのように行ったのか?」ではありません。問題は「誰が何をいつ知っていたのか?」となります。突然、セキュリティプログラムは技術的なメリットで評価されなくなります。それは、素人評論家によってその説明の正当性で評価されることになります。
そして、不都合な真実にたどり着きます。
最初の攻撃は脅威アクターによるものです。
2番目の攻撃は、それ以外のすべての人々によるものです。
侵害事象について語る方法
経験豊富なCISOは、侵害の可能性に執着しません。彼らは侵害の頻度について語ります。
なぜなら、インシデントが一度も発生しないかどうか、という問題ではないからです。問題は次のとおりです。
- どのくらいの頻度で侵害に直面するのでしょうか?
- どれくらいの速さで検知できますか?
- どれくらい適切に封じ込めることができますか?
- どれくらいの速さで運用を復旧できますか?
これは予防思考ではなく、レジリエンス思考です。もし誰かが「私たちは一度も侵害されたことがない」と言ったとしても、正しい対応は反論することではありません。穏やかに視点を変えることです。検知の成熟度が高まるほど、より多くのインシデントや侵害を発見することになります。これは役員にとって非常に直感に反するものです。言い換えれば、可視性が向上すると、安全になる前に「悪く」見えることがあります。
攻撃者は、魅力的なゼロデイ攻撃よりも、基本的な衛生管理の不備をはるかに頻繁にエクスプロイトします。侵害にはエリートの敵対者が必要だという神話は安心感を与えますが、通常は誤りです。現代の攻撃者は迅速に動きます。特にAIがエクスプロイト開発とフィッシングの規模を加速させるにつれて、エクスプロイトまでの平均時間は、今や日や週ではなく、分や時間で測定されます。レジリエンスは、バックアップを復元して以前の状態に戻す能力ではなく、適応性によって定義されます。なぜなら、以前の状態こそが、そもそも侵害を引き起こした脆弱な構成だったからです。
取締役会が実際に重視する唯一のセキュリティメトリクス
取締役会はダッシュボードを求めていません。彼らが求めているのはステアリングホイールです。では、どのようなセキュリティメトリクスが重要なのでしょうか?
リスクエクスポージャーの傾向
「脆弱性の数」ではなく、エクスポージャーがどのように変化しているか、そしてその理由を報告します。常に脆弱性の絶対数ではなく、前四半期のメトリクスからのパーセンテージと差分で報告してください。
検知までの時間と修正までの時間
これらは、ビジネスに直接的な意味を持つ運用メトリクスです。共有シークレットのコードスキャンによる自動修正メトリクス、CSPMによる脆弱な構成、構成ドリフト、および最近のNPM Shai-Hulud攻撃のようなサプライチェーンリスクを含めます。
爆発半径の縮小
これは、取締役会にとって最も関連性の高いセキュリティコンセプトである「封じ込め」です。「すべての火災を止められるか」ではなく、「キッチンの火災が建物全体を焼き尽くすのを防げるか」ということです。
ここで「もし~だったら」という思考が強力になります。GoogleのSREブログは、毎週のテーブルトップ演習、つまり定期的な構造化されたインシデントシミュレーションを通じて「Wheel of Misfortune」を普及させました。NASAも同様のコンセプトである「プレモーテム」を使用しています。失敗を想定し、それがどのように発生するかを理解するために逆算します。セキュリティカオスエンジニアリングは、この進化形であり、運用上の現実に基づいた、失敗状態に関する思慮深い実験であり、見せかけではありません。
既知の未知 vs 盲点
取締役会は不確実性を理解できます。彼らは「13,492件のクリティカルな脆弱性があります」ということを理解できません。しかし、彼らは以下を理解できます。
- 「これらの環境間でラテラルムーブメントが可能かどうかは不明です。」
- 「外部攻撃対象領域の客観的な検証ができていません。」
- 「当社の検知パイプラインがクレデンシャルスタッフィングを捕捉できるかどうかは不明です。」
これが、サードパーティによるペネトレーションテストが適切に活用された場合に非常に価値がある理由です。チェックボックスとしてではなく、リスクメカニズムの客観的な発見と検証としてです。
状況を悪化させるセキュリティメトリクス
さて、取締役会や上級管理職が関心を失うようなメトリクスについて話しましょう。
ツールの数
ツールの数が増えても、セキュリティが向上するわけではありません。各ツールは実質的に特権ユーザーです。それぞれが攻撃対象領域の一部となり、運用上の複雑さを増します。少数のツールで深い成熟度を達成する方が、多数のツールの浅い実装よりも優れています。
脆弱性の量
すべてのクリティカルおよびハイレベルな問題が同等ではありません。EPSSスタイルの考え方の台頭により、このことは明らかです。実際の侵害においてエクスプロイトされる脆弱性はごく一部に過ぎません。量に基づいたメトリクスは優先順位付けを混乱させます。
CVEの深刻度合計
深刻度とエクスプロイト可能性は同じではありません。到達可能性とコンテキストの方がより重要です。経営層は、数字との戦いに資金を投じることを望みません。なぜなら、それは決して勝てない戦いだからです。
コンプライアンス達成率
侵害を受けたすべての企業は、監査を受け、コンプライアンスレポートを提出していました。コンプライアンスは低いハードルです。真のセキュリティが目標です。CISOがこれらのメトリクスを経営層に提示するのは、それらが最も簡単に作成できるメトリクスだからという理由がよくあります。しかし、簡単であることと説得力があることは同じではありません。
POCを活用して、仮説的なリスクを証拠に変える
セキュリティリーダーが持つ最も効果的なツールの1つは、有償の概念実証(POC)です。機能の比較検討としてではなく、構造化された発見実験としてです。優れたPOCは、不安を煽ることなく証拠を提示するため、経営層にとって安全です。それは以下のことを可能にします。
- 未知のクリティカルな問題を明らかにする
- リスクのシナリオが現実的であるかを検証する
- 現在のコントロールに関する不確実性を低減する
- 投資に対する防御可能な根拠を提供する
重要なのは、これをビジネス実験として扱うことです。
- 仮説を定義します。
- 成功基準を定義します。
- 期間を定義します。
- 「ノー」がどのようなものかを定義します。
その後、経営層に戻り、次のように伝えることができます。「私たちは限定的な評価を実施しました。学んだことは以下の通りです。決定の選択肢は以下の通りです。」経営層は限定的な決定を好みます。
侵害後の予算配分
セキュリティリーダーシップには悲劇的なパターンがあります。侵害 → 「だから言ったでしょう」 → 予算承認。
しかし、これは有害な贈り物です。なぜなら、侵害後のCISOは、侵害前のCISOが懇願して拒否されたリソースを与えられることがよくあるからです。そして、侵害前のCISOはしばしば解雇されます。これは不公平であるだけでなく、組織的に損害を与えます。セカンドアタック、つまり傍観者、調査官、保険会社、規制当局などによる追及により、CISOがインシデントを適切に処理したとしても、その信頼性が損なわれることがよくあります。
多くのCISOはセカンドアタックを乗り越えられません。そして、後継者計画、あるいはその欠如が、全く新しい脆弱性の窓口を生み出します。脅威アクターはこのことを知っています。彼らは付け込みます。彼らはリーダーシップ変更の混乱をエクスプロイトします。結果として、2つまたは3つの戦線で戦うことになります。
- 日和見主義的な攻撃者
- 組織犯罪
- 内部組織の不安定性
この罠を避ける方法は、侵害が発生する前に経営層レベルの意思決定支援体制を構築することです。
共通の反論への対処法
経営陣や取締役会は、予測可能な少数の反論を抱えています。これらを議論のように反論するのは間違いです。正しい対応は、決定事項として捉え直すことです。また、NACD 2017年版取締役会ハンドブックの「付録A:取締役会が経営陣にサイバーセキュリティについて尋ねるべき質問」を必ず読み、それぞれの質問に答えられるよう準備しておくべきです。
「費用がかかりすぎます。」
「高い」とは何と比較してでしょうか?予想される損失と比較してですか?ダウンタイムのコストと比較してですか?振り向けられたエンジニアリングスプリントや成果物の機会費用と比較してですか?
「すでに何らかの対策を講じています。」
これは見落としがちな反論であり、通常、Microsoft 365サブスクリプションのバンドルサービスへの言及が含まれます。代替について議論するのではなく、Microsoft Defenderが必要ではあるものの、十分ではないことを説明します。成果について話しましょう:
- 何を検出できますか?
- 何を防止できますか?
- 何を封じ込めることができますか?
- 何が不明な点ですか?
「すでにコンプライアンスに準拠しています。」
コンプライアンスはリスク軽減ではありません。それはチェックリストをクリアした証拠に過ぎず、インシデントを乗り越えられる証拠ではありません。
「社内で構築します。」
社内での構築決定には、以下を含める必要があります:
- メンテナンス負担
- 新規採用者のトレーニング費用
- 機会費用
- 長期的な所有リスク
内製か購入かの決定は、それがコアコンピテンシーであるかどうかを考慮する必要があります。セキュリティツールは「一度限りのプロジェクト」ではありません。それは運用上のコミットメントであり、継続的な取り組みです。長年、企業メールシステムの運用は複数人のITチームが担当していましたが、現在ではその多くがMicrosoftやGoogleにアウトソースされ、はるかに優れたセキュリティ結果と低コストを実現しています。フィル・ヴェナブルス氏はかつて私に、ゴールドマン・サックスでセキュリティを担当していた際、彼らが「できるから」という理由だけで、あまりにも多くの機能を内製化したことが最大の心残りだったと語っていました。それが正しいことだったからではありません。
「オープンソースを利用します。」
オープンソースは確かに優れており、信頼に値します。しかし、取締役会は以下の違いを理解すべきです:
- 機能
- 信頼性
- 説明責任
オープンソースはコードを提供しますが、サービス保証や「責任の所在」を提供するものではありません。
「ペンテストで十分です。」
ペンテストは、特定の時点でのスナップショットであり、多くの場合、年にわずか1週間しか実施されません。取締役会は、継続的なリスク管理を要求すべきです。
「それは私たちには影響しない/私たちは決してハッキングされない。」
自信は仮定に過ぎません。仮定は検証される必要があります。ここに、取締役会のガバナンス指導が重要となる点があります。取締役会が技術的になる必要はありませんが、サイバーセキュリティリスクの性質をシステミックリスクとして理解するために、ITリスクや事業中断に関して意思決定ができるようになる必要があります。
取締役会が承認できるセキュリティ投資案件の姿
では、信頼できるセキュリティ投資とは実際にどのようなものなのでしょうか?
明確なリスクの枠組みと適切なフレームワーク
フレームワークの選択は重要です。一部のフレームワークは古くなっており、クラウドネイティブ企業には不向きです。最も避けるべきことの一つは、組織が時代遅れの評価基準に固執することです。CIS Top Controlsは、定期的に更新され、クラウドベースのイノベーションや技術に追随しているため、最高のサイバーセキュリティフレームワークの一つです。
測定可能な不確実性の低減
セキュリティは単にコントロールの問題ではありません。それは曖昧さを減らすことです。そして、すべての経営幹部に覚えてほしいリーダーシップに関する引用があります。
「マネージャーとして私たちは計画を実行し、
リーダーとして私たちは希少性を管理し、
経営幹部として私たちは曖昧さを管理します。」
取締役会は曖昧さを管理します。状況とデータを示すことで、取締役会が曖昧さを減らすのを支援することが求められます。
定性的なROIを伴う期限付きの評価
計算しすぎないでください。概念的に捉えてください。「90日後、6ヶ月後にはどのような成功が見込めるでしょうか?」そのソリューションは、コスト削減や、もはや効果的なセキュリティコントロールとリスク回避を提供していないレガシーツールの廃止において、いつ費用対効果を発揮するのでしょうか?
定義された成功基準
機能要件および非機能要件:
- 可用性
- 機密性
- 完全性
- 運用オーバーヘッド
- レジリエンスへの影響
このようにして、取締役会が希望的観測に頼っていると感じることなく承認できるような形で、要求をパッケージ化します。
CISOが取締役会と話す際に犯す唯一の間違い
CISOが犯す最大の間違いは、取締役会がセキュリティが重要だから資金を提供すると考えることです。取締役会は重要性に基づいて資金を提供しません。彼らは正当化できる意思決定に資金を提供します。したがって、脅威ランドスケープの複雑さで彼らを感心させることが目的ではありません。
目的は、限定的で合理的なトレードオフを彼らに提供することです。
- 競合するリスクのシナリオは以下の通りです。
- 判明していることは以下の通りです。
- 不明な点は以下の通りです。
- 選択肢は以下の通りです。
- 費用は以下の通りです。
- 行動した場合に何が変わるかは以下の通りです。
- 行動しなかった場合に不確実なまま残ることは以下の通りです。
そうすることで、取締役会はその職務を遂行できます。そして皮肉なことに、その時になって初めてセキュリティに関心を持ち始めるのです。
ペースレイヤリングとガバナンスの動きが遅い理由
優れたセキュリティプログラムは、複数の変化の層にわたって機能します。ここでは、スチュアート・ブランドのペースレイヤリングモデルが役立ちます。
- ファッション
- 商業
- インフラストラクチャ
- ガバナンス
- 文化
- 自然
テクノロジーはファッションのようにエッジで急速に進化します。ガバナンスはゆっくりと進みますが、その遅さは解決すべき問題ではありません。それは、企業が混乱するのを防ぐ安定層なのです。取締役会を動かしたいのであれば、ガバナンスの言葉で話す必要があります。つまり、限定された意思決定、曖昧さの低減、正当化可能なトレードオフです。なぜなら、取締役会と話すことは簡単な部分だからです。
難しいのは、彼らの思考に価値を加えることです。
