世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント
こんにちは、丸山満彦です。
世界経済フォーラム (WEF)が「規制当局が取締役会に求めるサイバーセキュリティのポイント」という記事を公表していますね。。。世界経済フォーラム (WEF) の一つのトピックスとして、Cybersecurityがあります。。。
Cybersecurityはそのリスクの大きさや変化のスピードという点から見ても、経営課題の重要な一部であることには違いないと思います。
● World Economic Forum - Whitepaper
・2022.10.24 Here’s what regulators will want boards to know about cybersecurity
| Here’s what regulators will want boards to know about cybersecurity | 規制当局が取締役会に求めるサイバーセキュリティのポイント |
| ・Cybersecurity is no longer an issue reserved strictly for the IT or compliance executives, it is an issue that impacts all board members. | ・サイバーセキュリティは、もはや IT 部門やコンプライアンス部門の役員だけの問題ではなく、すべての役員に影響を与える問題である。 |
| ・The SEC are increasing their requirements for cybersecurity disclosures and so boards must be fully informed and aware of cyber risks and responses. | ・SEC はサイバーセキュリティの開示要件を強化しているため、取締役会はサイバーリスクとその対応について十分な情報を得、認識する必要がある。 |
| ・The new NACD Cyber Risk-Reporting Service will help companies navigate their regulatory responsibilities and real time cyber risks. | ・NACDの新しいサイバーリスク報告サービスは、企業の規制責任とリアルタイムのサイバーリスクをナビゲートするのに役立つ。 |
| New United States Securities and Exchange Commission (SEC) rulemaking makes cyber risk reporting and business resilience planning a key component of effective board governance. Earlier this year, the SEC released a proposed cybersecurity disclosure rule to advance risk management and governance towards the treatment of cyber risk. | 米国証券取引委員会(SEC)の新しい規則制定により、サイバーリスク報告とビジネスレジリエンス計画は、効果的な取締役会ガバナンスの重要な要素となる。今年初め、SECは、サイバーリスクの扱いに向けてリスクマネジメントとガバナンスを進めるため、サイバーセキュリティ開示規則案を発表した。 |
| As per the SEC: “The SEC is proposing rules to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and cybersecurity incident reporting by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. Specifically, we are proposing amendments to require current reporting about material cybersecurity incidents. We are also proposing to require periodic disclosures about a registrant’s policies and procedures to identify and manage cybersecurity risks, management’s role in implementing cybersecurity policies and procedures, and the board of directors’ cybersecurity expertise if any, and its oversight of cybersecurity risk.” | SECの発表によると次の通りである。 「SECは、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、サイバーセキュリティインシデント報告に関する開示を強化し標準化する規則を提案している。具体的には、重要なサイバーセキュリティインシデントに関する最新の報告を義務付ける改正を提案している。また、サイバーセキュリティリスクを特定し管理するための登録者の方針と手続き、サイバーセキュリティ方針と手続きの実施における経営者の役割、取締役会のサイバーセキュリティに関する専門知識がある場合はその知識、サイバーセキュリティリスクの監督について定期的に開示することを要求することを提案している。」 |
| Have you read? | もう読みましたか? |
| Global Cybersecurity Outlook 2022 | グローバル・サイバーセキュリティ・アウトルック2022 |
| Board responsibility | 取締役会の責任 |
| These recent developments heighten attention on the management and disclosure of cyber risks and incidents across US publicly listed companies. It also underscores the importance of advancing risk management, business resilience and governance efforts across the boardroom to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. | これらの最近の動向は、米国の上場企業におけるサイバーリスクとインシデントのマネジメントと情報開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるように、リスクマネジメント、ビジネスレジリエンス、ガバナンスの取り組みを取締役会全体で推進することの重要性が強調されている。 |
| The World Economic Forum and National Association of Corporate Directors (NACD) Principles for Board Governance of Cyber Risk insights report finds that this is a Board level issue that needs to be proactively addressed, especially given the potential financial impacts of cyber risks. | 世界経済フォーラムと全米企業役員協会(NACD)の「サイバーリスクに関する取締役会ガバナンスのための原則」レポートは、特にサイバーリスクの潜在的な財務的影響を考えると、これは積極的に取り組む必要のある取締役会レベルの問題であることを見抜いている。 |
| As regulatory attention increases, it is essential for the board to ensure budgets allocated to cybersecurity risk align to effectively mitigate potential impact. The days where security budgets are set without business impact context are over. | 規制当局の注目が高まる中、取締役会は、サイバーセキュリティリスクに割り当てられる予算が、潜在的な影響を効果的に軽減するよう調整されることを確認することが不可欠である。ビジネスへの影響を考慮せずにセキュリティ予算が設定される時代は終わったのである。 |
| DISCOVER | ディスカバー |
| What is the World Economic Forum doing on cybersecurity? | 世界経済フォーラムは、サイバーセキュリティに関してどのような取り組みを行っているか? |
| The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges and improve digital trust. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. | 世界経済フォーラムのサイバーセキュリティ・センターは、サイバーセキュリティの体系的な課題に対処し、デジタルの信頼を向上させるために、グローバルな活動を推進している。このセンターは、官民のサイバーセキュリティに関するコラボレーションを促進する独立した公平なプラットフォームである。 |
| ・Salesforce, Fortinet and the Global Cyber Alliance, in partnership with the Forum, are delivering free and globally accessible training to a new generation of cybersecurity experts. | ・セールスフォース、フォーティネット、グローバル・サイバー・アライアンスは、同フォーラムと連携し、新世代のサイバーセキュリティ専門家に向けて、無料でグローバルにアクセス可能なトレーニングを提供している。 |
| ・The Forum, in collaboration with the University of Oxford – Oxford Martin School, Palo Alto Networks, Mastercard, KPMG, Europol, European Network and Information Security Agency, and the US National Institute of Standards and Technology, is identifying future global risks from next-generation technology. | ・フォーラムは、オックスフォード大学マーティンスクール、パロアルトネットワークス、マスターカード、KPMG、ユーロポール、欧州ネットワーク・情報セキュリティ機関、米国国立標準技術研究所と共同で、次世代技術による将来のグローバルリスクを特定する活動を行っている。 |
| ・The Forum has improved cyber resilience in aviation while working with Deloitte and more than 50 other companies and international organizations. | ・同フォーラムは、デロイトをはじめとする50以上の企業や国際組織と協力しながら、航空業界のサイバーレジリエンスを向上させてきた。 |
| ・The Forum is bringing together leaders from more than 50 businesses, governments, civil society and academia to develop a clear and coherent cybersecurity vision for the electricity industry. | ・フォーラムは、50以上の企業、政府、市民社会、学界のリーダーを集め、電力業界のための明確で一貫したサイバーセキュリティビジョンを策定している。 |
| ・The Council on the Connected World agreed on IoT security requirements for consumer-facing devices to protect them from cybers threats, calling on the world’s biggest manufacturers and vendors to take action for better IoT security. | ・コネクテッド・ワールド評議会は、消費者向け機器をサイバー脅威から保護するためのIoTセキュリティ要件に合意し、世界最大のメーカーとベンダーにIoTセキュリティ向上のための行動をとるよう呼びかけた。 |
| ・The Forum is also a signatory of the Paris Call for Trust and Security in Cyberspace, which aims to ensure global digital peace and security. | ・また、同フォーラムは、世界のデジタル平和と安全の確保を目指す「サイバースペースにおける信頼とセキュリティのためのパリ・コールに署名している。 |
| Contact us for more information on how to get involved. | 参加方法の詳細については、問い合わせること。 |
| The importance of communication | コミュニケーションの重要性 |
| Effective communication is a cornerstone of positive outcomes in business. Developing a common language for discussing the complex issues of cyber risk is essential to achieving business resilience. This requires simplifying confusing, technical discussions loaded with nuanced security terms into understandable financial exposure analysis, which sheds light on the potential of how cyber-attacks endanger organizations financially in the short and long term. | 効果的なコミュニケーションは、ビジネスにおいてポジティブな結果をもたらすための礎となる。サイバーリスクという複雑な問題を議論するための共通言語を開発することは、ビジネスのレジリエンスを実現するために不可欠である。そのためには、微妙なニュアンスのセキュリティ用語が並ぶ混乱した技術的な議論を、理解しやすい財務エクスポージャー分析に単純化し、サイバー攻撃が短期的にも長期的にも組織を財政的に危険にさらすという可能性に光を当てる必要がある。 |
| For boards, It is not the technical part of cyber they need to become experts in (although technical awareness may help). They need to view cyber as a material business financial risk and need to understand the potential of its material impact on business. | 取締役会にとって、専門家になる必要があるのはサイバーの技術的な部分ではない(技術的な認識は役立つかもしれないが)。取締役会は、サイバーを重要な事業財務リスクと見なし、それが事業に及ぼす重大な影響の可能性を理解する必要がある。 |
| This will ensure oversight that converts the technical conversation around cyber security to one of taking steps to establish business resiliency. On an ongoing basis, boards can engage in effective oversight by ensuring management develops strategy and aligns budget to demonstrate risk mitigation and financial exposure reduction. | これにより、サイバーセキュリティにまつわる技術的な話を、ビジネスのレジリエンスを確立するための措置を講じるという話に変換する監視が保証される。取締役会は、経営陣がリスク軽減と財務的エクスポージャーの削減を実証するための戦略を策定し、予算を調整することで、継続的に効果的な監督を行うことができる。 |
| When formulating their cyber resiliency plans, boards would do well to ask management questions like: | サイバーレジリエンス計画を策定する際、取締役会は経営陣に次のような質問をするのがよいだろう。 |
| ・What is our potential financial exposure to cyber threats? | ・サイバー脅威に対する当社の潜在的な財務的エクスポージャーはどの程度か? |
| ・What cyber threats are most likely to have a major financial impact on our business? | ・どのようなサイバー脅威が当社のビジネスに大きな財務的影響を与える可能性が高いか? |
| ・How much financial exposure are we willing to accept across our enterprise and digital supplier ecosystem? | ・当社のエンタープライズとデジタルサプライヤのエコシステム全体で、どれだけの財務的エクスポージャーを受け入れることができるか? |
| ・How can we align our budget, implement controls, develop strategy and optimize risk transfer to address our cyber risk exposure? | ・サイバーリスクのエクスポージャーに対処するために、どのように予算を調整し、コントロールを導入し、戦略を策定し、リスク移転を最適化できるか? |
| ・Are our digital initiatives being developed in a cyber-resilient way? | ・当社のデジタルイニシアチブは、サイバーレジリエンスに対応した方法で開発されているか? |
| Cyber risk is a discussion for all c-suites | サイバーリスクはすべてのc-suiteのための議論である |
| Chris Hetner, former senior cybersecurity advisor to the SEC and Nasdaq Center for Board Excellence Insights Council member, says that “It is essential for boards to continuously incorporate cyber risk management discussions related to the most effective way to reduce the financial and business impact connected with cyber risk. The conversation isn’t just for the Chief Information Officer (CIO) and Chief Information Security Officer (CISO). It is a broader c-suite discussion, which must be led by the Chief Financial Officer (CFO) and General Counsel.” | SECの元シニア・サイバーセキュリティ・アドバイザーで、ナスダックのCenter for Board Excellence Insights Councilのメンバーでもあるクリス・ヘットナーは、「取締役会は、サイバーリスクに関連する財務およびビジネスへの影響を軽減する最も効果的な方法に関するサイバーリスクマネジメントの議論を継続的に取り入れることが不可欠である」と述べている。この議論は、最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)のためだけのものではない。最高財務責任者(CFO)と法務責任者が主導しなければならない、より広範なCSUITEの議論なのである。 |
| Hetner says that the failure of cybersecurity to leave a mark on the board is no longer, noting that: "The default tendency of executives is to rely on periodic tactical and technical reports to justify tech solutions that may address technical security issues.” He adds that: "Too often cybersecurity gets lost in translation when engaging board members and the c-suite. This leaves leadership unsure of precisely what they are funding and where residual gaps remain." | ヘットナーは、サイバーセキュリティが取締役会に痕跡を残さないことはもうないと言い、次のように指摘している。「経営陣の既定の傾向は、技術的なセキュリティ問題に対処する可能性のある技術ソリューションを正当化するために、定期的な戦術的および技術的な報告書に頼ることである。」 また、次のように付け加えている。「取締役会や経営幹部を巻き込む際に、サイバーセキュリティが訳が分からなくなることがあまりに多いのである。このため、経営陣は、自分たちが何に資金を提供しているのか、どこにギャップが残っているのか、正確に把握できないままになっている」。 |
| Chris and the NACD recently supported the launch of a groundbreaking service whereby boards are supported to more effectively provide oversight related to cyber risk exposure. The X-Analytics and NACD Cyber Risk-Reporting Service is an annual subscription that provides quarterly board reports highlighting the financial exposure attributed to an organization’s cyber risk. The platform relies on the same analytics used by leaders within the cyber insurance industry. | クリスとNACDは最近、取締役会がサイバーリスクのエクスポージャーに関連した監視をより効果的に提供できるよう支援する、画期的なサービスの立ち上げを支援した。X-AnalyticsとNACDのサイバーリスクレポートサービスは年間契約であり、組織のサイバーリスクに起因する財務エクスポージャーを強調した四半期ごとの取締役会報告書を提供するものである。このプラットフォームは、サイバー保険業界のリーダーたちが使用しているのと同じ分析に依存している。 |
| This new NACD service facilitates a broader c-suite conversation related to cyber risk and assists boards in engaging in discussions that transcend the technical aspects of cybersecurity. | NACDのこの新しいサービスは、サイバーリスクに関連する経営陣との幅広い対話を促進し、取締役会がサイバーセキュリティの技術的側面を超えた議論に参加することを支援する。 |
| Cyber risk management is a team sport that requires the entirety of the enterprise to ensure business resilience. This is driven by a collective analysis that supports inclusive messaging and collaboration. The CISO is a key component of the enterprise cyber resilience strategy but is not the only actor in cyber anymore. What is required is a more inclusive message and collaboration that includes all enterprise risk management leaders. | サイバーリスクマネジメントは、ビジネスのレジリエンスを確保するためにエンタープライズ全体が必要とするチームスポーツである。これを推進するのは、包括的なメッセージングとコラボレーションをサポートする集合的な分析である。CISO は、エンタープライズのサイバーレジリエンス戦略の重要な構成要素であるが、もはやサイバーに関わる唯一のアクターではない。必要なのは、すべてのエンタープライズ・リスク・マネジメントのリーダーを含む、より包括的なメッセージと協力体制である。 |
| The new SEC rules seek to engage senior management and the board in a meaningful way. These recent developments heighten attention to disclosures of cyber risks and incidents by US SEC publicly listed companies. They underscore the importance of advancing risk management and governance efforts across the boardroom community to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. | SECの新ルールは、経営幹部と取締役会を有意義な形で関与させることを求めている。これらの最近の動きは、米国SECの上場企業によるサイバーリスクとインシデントの開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるよう、取締役会全体でリスクマネジメントとガバナンスの取り組みを進めることの重要性が強調されている。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響 (2022.07.22)
・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)
・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト
・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?
・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由
・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022
« ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項 | Main | 国際監査・保証基準審議会 準同型暗号 »
Comments