2024年はサイバーセキュリティにとって前例のない変動の年となる見込みである。規制の変更、第三者サービスのインシデント、経済の不確実性が高まる中、リスク管理プログラムにおける取締役会の関与が重要となっている。データ侵害は、取締役会がサイバー議論に積極的に関与していない組織で2倍から3倍高額になることがある。また、CISO(最高情報セキュリティ責任者)は、ステークホルダーとのコミュニケーションにおいて、企業のリスク環境を革新的な方法で伝えることが求められている。
米国証券取引委員会のサイバー規制は、「重要」なサイバーインシデントを特定してから4日以内に開示することを義務付けており、これにより取締役会がサイバー脅威に対応するよう促している。また、年次報告において重要なリスクとその管理方法の開示も求められている。
CISOは、組織にとっての「重要性」の意味を明確にし、サイバーインシデントの可能性を評価するために、合意された重要性の定義を使用している。しかし、多くのCISOにとって、重要性は依然として曖昧な用語であり、組織の独自のサイバーセキュリティ環境に基づいて解釈が異なる。
「重要な損失」を決定することは、何が「重要な損失」を構成するかを決定する上で混乱の核心であるが、必要な議論である。これまでに公表された最も明確な業界定義は、前年度の収益の0.01%、つまり収益の約1ベーシスポイントに相当すると評価している。
Kovrrは最近、米国のフォーチュン1000社の予想されるサイバーインシデントをモデル化し、業界に応じたイベントとセキュリティコントロールの反応のカスタマイズされたコレクションに基づいて各組織を分析した。これにより、サイバーリスク定量化(CRQ)評価が行われ、業界に応じた各イベントの可能性とコストが明らかになった。
金融・不動産、小売業、公益事業、石油・ガス採掘および鉱業などの業界は、12ヶ月以内に5000万ドル以上(1日分の収益に相当)のサイバーイベントによる損失の可能性が10%以上(10分の1)、1億ドル以上のコストが5%以上(20分の1)の確率で発生するとされている。
CISOは、特定の業界内で物質的損失を引き起こす可能性が最も高いイベントドライバーを特定することにより、物質的リスクに最も影響を受けやすいビジネス領域への投資を行うための物質的閾値を決定することができる。
【ニュース解説】
2024年はサイバーセキュリティの分野において前例のない変動が予想される年となります。この変動は、規制の変更、第三者サービスのインシデント、そして経済の不確実性の高まりによって引き起こされると見られています。このような状況の中で、企業の取締役会がリスク管理プログラムに積極的に関与することの重要性が強調されています。特に、取締役会がサイバー議論に関与していない組織では、データ侵害のコストが2倍から3倍に跳ね上がる可能性があると指摘されています。
米国証券取引委員会は、サイバー規制を通じて、「重要」なサイバーインシデントを特定してから4日以内にこれを開示することを義務付けています。これは、取締役会がサイバー脅威に対してより積極的に対応するよう促すための措置です。また、企業は年次報告において、重要なリスクとその管理方法についても開示する必要があります。
CISO(最高情報セキュリティ責任者)は、組織にとっての「重要性」の意味を明確にし、サイバーインシデントの可能性を評価するために、合意された重要性の定義を使用しています。しかし、「重要性」は依然として曖昧な用語であり、組織の独自のサイバーセキュリティ環境に基づいて解釈が異なることがあります。
「重要な損失」を決定することは、何が「重要な損失」を構成するかを決定する上での混乱の核心ですが、この議論は必要不可欠です。業界で公表された定義によると、重要な損失は前年度の収益の0.01%、つまり収益の約1ベーシスポイントに相当するとされています。
Kovrrによる最近のモデル化では、米国のフォーチュン1000社が経験する可能性のあるサイバーインシデントが分析されました。この分析により、業界に応じた各イベントの可能性とコストが明らかにされ、サイバーリスク定量化(CRQ)評価が行われました。
特定の業界では、12ヶ月以内に5000万ドル以上のサイバーイベントによる損失の可能性が10%以上、1億ドル以上のコストが5%以上の確率で発生するとされています。これは、特定の業界における物質的リスクの高さを示しています。
CISOは、特定の業界内で物質的損失を引き起こす可能性が最も高いイベントドライバーを特定し、物質的リスクに最も影響を受けやすいビジネス領域への投資を行うための物質的閾値を決定することができます。これにより、経営陣とサイバーセキュリティリーダーが協力して、組織の脅威環境を正確に反映したデータ駆動型の決定を下すことが可能になります。
2024年はサイバーセキュリティにとって挑戦的な年となる見込みですが、物質的損失を明確に定義するデータ駆動型のフレームワークを実装することで、取締役会とのより明確な議論を促進し、サイバー回復力の文化を促進することができます。
from A CISO's Guide to Materiality and Risk Determination.
