デジタルリスクの地平線 ― 国際的・業際的企業コミュニティの最前線
英国企業のデジタル社会に対する説明責任
『大半の英国企業の経営は、情報、データ、およびデジタル技術に依存しています。日に日にオンライン化が進む世界において、サイバーセキュリティは、企業における効率的な業務遂行を保証します。サイバーセキュリティを上手く使いこなせれば、コンプライアンス体制の構築や技術的コントロールの配備よりもはるかに効果的です。テクノロジーがもたらすチャンスを生かし、経営計画を進め、全社で付加価値を生み出すことができるのです。』
『サイバーセキュリティが整えば、サイバー攻撃、データ漏洩、あるいは業務中断といったものから会社を守り、危機に備え、そして復旧する「サイバーレジリエンス」の向上に資するのです。経営陣、監査委員会、リスク委員会、報酬委員会は、全て自社の経営が適切な水準にあることを確認する役割を担い、取締役会は、株主に対する最終的な説明責任を果たす必要があります。』
『NCSCのBoard Toolkitは、サイバーレジリエンスおよびリスク管理が、社員、制度、プロセス、およびテクノロジーなどを全社に浸透させるための取締役会の手引きとなるものです。』
英国のBoard Toolkitはサイバーセキュリティの道具一切合切
上述のような前置きで始まる、NCSC(英国国家サイバーセキュリティセンター)のBoard Toolkitという公開資料は、2020年に発表され、本年2023年に第二版が出されています(3月に発表、10月23日に改訂)。NCSCという組織は2016年に政府通信本部(GCHQ)の傘下に創設されました。国民および官民組織に奉仕し、諸外国の相対組織の窓口でもあります。何度か訪問した筆者の経験でも、国家サイバー戦略の下、緻密かつ創造的な仕事を、膨大な日々の業務をこなしながらスピーディに進めている、高度な知的集団です。とりわけ、民間の優秀な人材とも垣根を超えて有機的に繋がっているのが特徴です。
そういう組織が作成し、3年間の批判を経たドキュメントは、サイバーセキュリティを担当する取締役のガバナンスツールとして一切合切を順序良く構成して詰め込んであり、大いに信頼に足るものでしょう。その概観を見てみますと、まず、第一節で「適切な環境づくり」を説き、次に、「意思決定を支える適切な情報整備」を要請し、最後の第三節で「リスク管理の整備」の道標を示しています。それぞれの階梯は、3つに分かれており、合計で9つのモジュール(道具)があります。また、各モジュールには、具体的な説明に加えて、必須の実施事項や達成指標も付いています。
規律ある投資には、順序が鍵
リスク管理ひいてはセキュリティ機能に秀でた英国の体系は、そのまま日本に持ってきたとしても有効でしょうし、有益でもあるでしょう。しかし、もしこれを取締役会がそのまま実務部隊に投げてきたら、実務責任者は、その荘重な構成にただただ茫然としてしまうことでしょう。何か良い工夫はないか。取締役会と実務責任者の対話の糸口は何か。完成形までの時間軸にユトリをもらう? 予算を増やしてもらってベンダーからサービスを買う? どうも端から無理そうです。
そこで、いったんセキュリティを離れてみます。実に飛びますが、料理の話です。日本の由緒ある割烹で、新入りが料理長(カウンターに立てるよう)になるまでには、12年ほどの修行が必要だそうです。その間、お給料も出すのですから、割烹にとっては大きな投資です。ある京都の老舗では10-12のステップに就いて、四季を通じて実践と学習を日々繰り返すのだそうで、なるほどそれだけ年月が必要な訳です。問題は順序です。これを間違うと上手く育たない。また、育つまでに長く掛かりすぎて投資が回収できない。そこで、新入りには、助手や二番手という立場で俯瞰的なイメージも掴んでもらった上で、油場(揚げもの、蒸しもの、温もの担当)、焼き場(焼もの担当)、酢のもの・水もの場(酢のもの、水もの、甘味担当)、八寸場(酒肴、和えもの、八寸、珍味、おしのぎ、箸休め担当)、煮方(椀、鍋、炊合せ、麺、ご飯、汁、煮もの担当)、向板(お造り担当)という順序で一つ一つ階梯を登っていってもらうそうです*。料理の好きな方であれば、なるほどね、と思う順序ではないでしょうか。そうです、順序にこそ必要最小限の期間で着実な、規律ある投資を行うための鍵があるのです。
*「板前割烹の仕事」栗栖正博著(柴田書店、2007年139頁)
道具の使い方に習熟する順序
さて、本題に戻り、取締役会ツールキットです。PDFで50頁に及ぶものですが、初版から3年経った今では主要企業の2‐3割が参照しているようです(Cyber security breaches survey 2023, April 1013, Department for Science, Innovation & Technology, U.K.)。
逆に言えば、7-8割の企業は参照していない、という現実もあります。ツールが優れたもので、必要だとしても、優れていたとしても、所要資金が嵩(かさ)みすぎてしまうのでは、と怯(ひる)んでしまっているのではないでしょうか?
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方