英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)







U.K. National Cyber Security Centre


・2024.10.07 Engaging with Boards to improve the management of cyber security risk




Engaging with Boards to improve the management of cyber security risk サイバーセキュリティリスクマネジメントを改善するために取締役会と協力する
How to communicate more effectively with board members to improve cyber security decision making. サイバーセキュリティの意思決定を改善するために、取締役会のメンバーとどのように効果的なコミュニケーションをとるか。
In this guidance 本ガイダンスでは
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Understanding your audience 対象者を理解する
Engaging strategically 戦略的に関与する
Communicating clearly 明確にコミュニケーションする
Cyber security is a critical risk for boards and executive teams. Cyber security leaders (such as CISOs) play a crucial role in describing and mitigating the risks. This guidance helps those leaders to communicate effectively with Boards, and to better engage with their members. サイバーセキュリティは、取締役会や経営陣にとって重要なリスクである。サイバーセキュリティリーダー(CISOなど)は、リスクの説明と低減において重要な役割を担っている。本ガイダンスは、このようなリーダーが取締役会と効果的なコミュニケーションを図り、取締役会のメンバーとより良い関係を築くことを支援する。
Introduction: why engaging with Boards matters 序文:なぜ取締役会との連携が重要なのか?
Communicating with Boards and senior executives about cyber security can feel daunting, with the scrutiny this entails. サイバーセキュリティに関する取締役会や上級役員とのコミュニケーションは、その監視の厳しさゆえに難しく感じられるかもしれない。
It’s important to remember that Boards ultimately want you to be successful in defending the organisation against cyber security threats. When the Board is behind your efforts, cyber security can be recognised as a positive thing that helps your organisation’s digital activity to flourish, and not just seen as a necessary evil or cost-centre. 重要なのは、取締役会が最終的に求めているのは、サイバーセキュリティの脅威から組織を守ることに成功してほしいということである。取締役会があなたの取り組みを支持することで、サイバーセキュリティは、必要悪やコストセンターと見なされるのではなく、組織のデジタル活動を繁栄させるためのポジティブなものとして認識されるようになる。
Most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but maybe less experience in communicating with Board or senior executive teams. As a cyber professional, it is part of your job to bridge this gap to provide better cyber security outcomes. ほとんどの取締役は、サイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティ・リーダーは、この分野の詳細な知識を持っているが、取締役会や上級幹部チームとのコミュニケーションの経験は少ないかもしれない。サイバーセキュリティの専門家として、このギャップを埋め、より良いサイバーセキュリティの成果を提供することがあなたの仕事の一部である。
Cyber security is a strategic issue, which means you must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. This guidance describes how to communicate and engage more effectively with board members, to improve cyber security decision making within your organisation. It will also help you to communicate with senior executives, who make recommendations to the Board and are responsible for executing the strategy. Executives will take most of the decisions relating to cyber security and will be answerable to the Board for those decisions. Your CEO and CFO will likely be board members too. サイバーセキュリティは戦略的な問題であり、サイバーリスクが理解され、管理され、低減されるようにするためには、取締役会の言葉や用語で取締役会に働きかける必要がある。本ガイダンスでは、組織内のサイバーセキュリティに関する意思決定を改善するために、取締役会メンバーとより効果的にコミュニケーションし、関与する方法について説明する。また、取締役会に提言を行い、戦略の実行に責任を持つ上級幹部とのコミュニケーションにも役立つ。経営幹部は、サイバーセキュリティに関する意思決定のほとんどを行い、その決定について取締役会に回答する責任を負う。最高経営責任者(CEO)と最高財務責任者(CFO)も取締役会のメンバーになる可能性が高い。
Note: 注:
This guidance does not aim to increase cyber security understanding  amongst board members. The NCSC has produced separate guidance designed to help Boards ‘get a grip on cyber’, and includes briefings, guidance and training material directed at non-technical decision makers. 本ガイダンスは、取締役会メンバーのサイバーセキュリティに対する理解を深めることを目的としていない。NCSCは、取締役会が「サイバーセキュリティを把握する」ためのガイダンスを別途作成しており、非技術的な意思決定者を対象としたブリーフィング、ガイダンス、トレーニング資料が含まれている。
Understanding your audience 聴衆を理解する
As an enthusiastic and knowledgeable subject matter expert, you will probably have a tendency to want to tell, share and provide substantial updates on all your activities. In doing so, it’s easy to forget to calibrate your output for your audience. 'Cyber’ is 99% your day job. For Boards, this topic will be competing for space on an agenda already packed with dozens of other topics. It is therefore essential that you understand this broader Board agenda, the corporate strategy and goals, and the challenges the business faces. 熱心で知識豊富な専門家として、あなたはおそらく、自分の活動すべてについて、最新情報を伝え、共有し、提供したいと思う傾向があるだろう。そうすることで、聴衆に合わせてアウトプットを調整することを忘れがちになる。サイバー」は99%あなたの本業である。ボードにとって、このトピックは、すでに何十ものトピックで埋まっているアジェンダの中で、スペースを奪い合うことになる。そのため、より幅広い取締役会の議題、企業の戦略や目標、ビジネスが直面する課題を理解することが不可欠だ。
You won’t have (and don’t need) access to all the details; just reminding yourself of the top-down position, and asking questions if you need to, will help you talk about cyber in a relevant way that is connected to the strategic agenda. As with any audience, investing time in understanding what is important to the Board, their context and how they work will make you a more effective communicator. トップダウンの立場を思い起こし、必要であれば質問することで、戦略的アジェンダに関連した形でサイバーについて話すことができる。どのような聴衆に対しても言えることだが、取締役会にとって何が重要なのか、その背景や仕事の進め方を理解するために時間を費やすことが、あなたをより効果的なコミュニケーターにする。
Understand how ALL Boards work 取締役会のすべての仕事を理解する
This guidance focuses on engagement with Boards, the formal corporate group who are responsible for: このガイダンスは、以下の責任を負う正式な企業グループである取締役会とのエンゲージメントに焦点を当てている:
・the long-term strategy of the organisation in the interests of stakeholders-at-large ・ステークホルダー全体の利益のために、組織の長期的な戦略を策定する。
・the governance of the execution of that strategy and management of risks associated with it ・戦略実行のガバナンスとそれに伴うリスクマネジメント
It is a common misconception that Boards make all the decisions; most will be made by the executive management team, with the Board concerning itself with the governance and oversight of those decisions and recommendations. The NCSC has produced a useful summary of cyber security regulations and directors duties in the UK, which you should familiarise yourself with so you can better understand the Board’s obligations. 取締役会がすべての意思決定を行うというのは一般的な誤解であり、ほとんどの意思決定は経営陣が行い、取締役会はそれらの意思決定や提言のガバナンスと監督に責任を持つ。NCSCは、英国におけるサイバーセキュリティ規制と取締役の義務に関する有用な要約を作成した。
The role of cyber security professionals here is: ここでのサイバーセキュリティ専門家の役割は以下の通りである:
1. To ensure the cyber security implications of strategic decisions are understood by decision makers. 1. 戦略的意思決定がサイバーセキュリティに与える影響を意思決定者に確実に理解させる。
2. To ensure that risks to delivering the organisation’s strategy are identified, evaluated, and mitigated in line with the business risk appetite. This includes ensuring that the business has adequate cyber resilience to prevent, detect and respond to cyber attacks. 2. 組織の戦略を実現するためのリスクが、ビジネスリスクアペタイトに沿って特定、評価、低減されるようにする。これには、サイバー攻撃を防止、検知、対応するための適切なサイバーレジリエンスを確保することも含まれる。
The latter is most naturally where the conversation will start. To contribute to the former you will need to build trust in your knowledge and ability to deliver, and have demonstrated that you can contribute positively to the strategic discussions. 後者については、当然ながら会話が始まる。前者に貢献するためには、自分の知識と能力に対する信頼を築き、戦略的な議論に積極的に貢献できることを証明する必要がある。
Boards are responsible for overseeing a broad range of issues in their governance roles. Time allocated to even the most important subjects can often look very limited and dismissive of the importance of the subject. Respecting the preciousness of Board time is key to ‘operating at Board level’. 政府は、ガバナンスの役割の中で、幅広い問題を監督する責任を負っている。最も重要なテーマであっても、そこに割かれる時間は非常に限られており、その重要性を軽視しているように見えがちである。取締役会の貴重な時間を尊重することが、「取締役会レベルでの運営」の鍵である。
Note: 注:
The Financial Reporting Council - UK Corporate Governance Code gives a more detailed view of the role of a Board (and its members). Financial Reporting Council - UK Corporate Governance Codeは、取締役会(およびそのメンバー)の役割について、より詳細な見解を示している。
Understand how YOUR Board works (and who is on it) 自社の取締役会がどのように機能するか(そして誰が取締役会のメンバーか)を理解する
We tend to think of ‘The Board’ as a single entity, but it is of course made up of individual humans just like any other group, each with their own knowledge, skills, styles and preferences. 私たちは「取締役会」を単一の事業体として考えがちだが、もちろん他のグループと同じように個々の人間で構成されており、それぞれが独自の知識、スキル、スタイル、嗜好を持っている。
As well as who is on the Board, it's important to understand the mechanisms and practicalities of how your Board operates. How often do they meet? What format do the meetings take? What committees are there? Find out who manages the Board in your organisation. Larger companies will have a Company Secretary team who will be able to support you. Responsibility sometimes falls to a Chief of Staff role. In particular, seek advice on their ‘ways of working’, such as how they like sessions to work, and what style of papers and presentations work best. Read what Board output might be available to you. 誰が役員であるかだけでなく、役員会がどのように運営されているか、その仕組みと実務を理解することも重要だ。取締役会の開催頻度は?会議はどのような形式で行われるのか?どのような委員会があるのか?あなたの組織で誰が取締役会を管理しているのかを確認する。大企業であれば、カンパニー・セクレタリー・チームがあり、あなたをサポートしてくれるだろう。チーフ・オブ・スタッフの役割に責任がある場合もある。特に、彼らがどのようなセッションを好むか、どのようなスタイルの書類やプレゼンテーションが最も効果的かなど、「仕事のやり方」について助言を求める。理事会のアウトプットがどのようなものかを読む。
Cyber is a risk - talk about it as such サイバーはリスクである。
Boards understand risk. Many Boards will have a Risk Committee possibly combined with other functions such as Audit, Governance or Compliance. 取締役会はリスクを理解している。多くの取締役会にはリスク委員会があり、監査、ガバナンス、コンプライアンスなど他の機能と組み合わされている。
Whilst cyber risks may be notably different from other risks (the adversarial nature, the potential for catastrophic impact, their often very technical nature - and more generally how ‘new’ cyber risk is), it is helpful to align it with the framework and language of risk the Board are already familiar with. It allows you to locate ‘cyber’ in what should be familiar territory for board members. Your role is to help them understand how the cyber risks manifest as business risks, their potential impact and what you (with their support) will do to avoid or mitigate them. サイバーリスクは他のリスク(敵対的な性質、壊滅的な影響の可能性、多くの場合非常に技術的な性質、より一般的にはサイバーリスクがいかに「新しい」ものであるか)と著しく異なるかもしれないが、取締役会が既に慣れ親しんでいるリスクの枠組みや言語に合わせることは有益である。これにより、取締役会メンバーにとって馴染みのある領域に「サイバー」を位置づけることができる。あなたの役割は、サイバーリスクがビジネスリスクとしてどのように顕在化するのか、その潜在的な影響、そしてそれを回避または軽減するために(彼らの支援を受けて)あなたが何をするのかを理解してもらうことである。
In practice this means decomposing the threat landscape into clearly stated risks, in natural language, then grading the likelihood and impact of those risks. 実際には、これは脅威の状況を自然な言葉で明確にリスクに分解し、それらのリスクの可能性と影響を評価することを意味する。
Where possible, quantify and make the risks tangible, using precise language. You should reserve ‘doomsday scenario’ language and hyperbole for risks that really really warrant it. Equally Boards expect honest, matter-of-fact assessments of risks and your current position. Trying to gloss-over the risk (or overstate the mitigation) is not helpful. 可能であれば、正確な表現を用いてリスクを定量化し、具体化する。終末のシナリオ」的な表現や大げさな表現は、それが本当に正当なリスクに対して使うべきものである。同様に、ボードはリスクと現在のポジションについて、正直で率直なアセスメントを期待する。リスクを覆い隠そうとする(あるいは低減を誇張する)ことは役に立たない。
Recent research commissioned by the NCSC revealed that 80% of Boards do not realise that the accountability for cyber risk rests with them, even when cyber aspects are outsourced. Remember, it’s your job to advise; you can’t set the appetite for risk. That has to be done by the Board. NCSCが委託した最近の調査によると、80%の取締役会は、サイバーリスクの説明責任が、サイバー面を外部に委託している場合でも、取締役会にあることを認識していないことが明らかになった。助言するのがあなたの仕事であり、リスク選好度を決めることはできない。それは取締役会が行わなければならない。
Engage outside of Board meetings 取締役会以外の場で関与する
Board meetings aren’t the best place for you to ask questions, or to have in-depth discussions. 'Cyber' is more likely to be allocated a 15-minute session, rather than a two-hour workshop. It is much easier to have longer discussions between individuals and smaller groups. You may also find Board members are more comfortable asking questions about things they are unsure about in these smaller groups, something that’s hard for anyone to do in a formal setting. 取締役会は、質問したり、突っ込んだ議論をしたりするのに最適な場ではない。サイバー」は、2時間のワークショップではなく、15分のセッションに割り当てられる可能性が高い。個人や少人数のグループの方が、長いディスカッションがしやすい。また、正式な場ではなかなかできないような質問も、少人数のグループなら気軽にできる。
You’ll soon be able to identify the individuals on the Board who have a particular interest or knowledge of your area, so try and develop regular communication with them outside the regular Board agenda. Work with your executive management to achieve this. 理事会のメンバーで、あなたの分野に特別な関心や知識を持つ人物はすぐに特定できるだろうから、通常の理事会の議題以外でも、彼らとの定期的なコミュニケーションを図るようにしよう。経営幹部と協力してこれを達成する。
High-profile incidents present an opportunity to inform, update and advise. When cyber hits the news, which it frequently does, use the story to put a short briefing together for executive teams and Boards. This should cover the potential impact on your organisation, the steps you're taking to protect against similar incidents, and anything within your organisation that might heighten the risk or block progress in mitigating it. It may not be appropriate for you to send this directly to the Board, but share these thoughts with executives for them to share, if they see fit. 注目されるインシデントは、情報提供、更新、助言の機会を提供する。サイバー関連のニュースが頻繁に報道されるようになったら、そのニュースを利用して、経営陣や取締役会向けに短いブリーフィングをまとめよう。その際には、組織への潜在的な影響、同様のインシデントから守るために講じている措置、組織内でリスクを高めたり、リスク低減の進捗を妨げたりする可能性のあるものを取り上げるべきである。これを取締役会に直接送るのは適切ではないかもしれないが、適切と思われる場合には、経営幹部が共有できるよう、これらの考えを共有する。
Answer the most important questions first 最も重要な質問から答える
Make sure that you understand what is most important from the Board’s perspective. This might include: 取締役会の観点から何が最も重要かを理解しておく。これには以下が含まれる:
・What are the key risks and mitigation plans that you need to show progress against? ・進捗を示す必要のある主要リスクと低減計画は何か?
・What are the KPIs and metrics that are most relevant to your organisation? ・組織にとって最も関連性の高いKPIや指標は何か?
・What impacts are your Board most worried about? Downtime? Client impact? Regulation? ・取締役会が最も懸念している影響は何か?ダウンタイムか?顧客への影響?規制か?
・What are the critical questions the Board wants answering? ・取締役会が答えを求めている重要な質問は何か?
・What operational data can you surface to show activity and the benefits being achieved by investments made? ・どのような業務データを表に出せば、活動や投資によって達成された利益を示すことができるか?
A ‘one-page’ summary dashboard maybe called for here. Your organisation or Board meetings may have a preferred format and approach to routine reporting which you should work with. ここでは、「1ページ」の要約ダッシュボードが必要かもしれない。あなたの組織や取締役会には、日常的な報告に対する好みの形式やアプローチがあるかもしれない。
Expect to be asked about the big picture 全体像について質問されることを期待する
Part of Board’s role in governance and oversight is to make sure experts don’t get lost in the weeds at the expense of the bigger picture. One way Board members will do this is by ‘stepping back’ and asking broad questions. Questions you can expect to be asked may include: ガバナンスと監督における政府理事会の役割のひとつは、専門家が全体像を犠牲にして雑草の中に紛れ込まないようにすることである。取締役会のメンバーがこれを行う方法の1つは、「一歩下がって」幅広い質問をすることである。想定される質問には次のようなものがある:
・Do we understand the cyber security threat, and how it might impact our business strategy and plans? ・サイバーセキュリティの脅威を理解し、それが当社の事業戦略や計画にどのような影響を及ぼす可能性があるか?
・How do we benchmark against other organisations? Our peers? Our sector? ・他の組織に対するベンチマークはどうか。同業他社はどうか?セクターはどこか?
・How do we consider cyber security implications when we take decisions? ・意思決定を行う際に、サイバーセキュリティの影響をどのように考慮しているか?
・Have the critical assets for protecting our key business objectives been identified? ・主要な事業目標を保護するための重要な資産は識別されているか。
・Are we managing the risks in an effective way? ・リスクを効果的な方法でマネジメント しているか。
・Are we executing against the mitigation actions? ・低減策を実行しているか。
・Are responsibilities clear? ・責任を明確にしているか。
・Are we working with our supply chains and customers on this? ・サプライチェーンや顧客と連携しているか
・Do we have incident and contingency plans in place? Have they been tested? ・インシデントプランとコンティンジェンシープランを整備しているか?テスト済みか?
The NCSC’s ‘Cyber security 101’ for board members (PDF) gives insights into the types of questions Boards should and might reasonably be asking. Note that these aren’t technical questions; these are governance & assurance questions that Board members will feel comfortable asking, and to test the answers to. NCSCの理事会メンバー向け「サイバーセキュリティ101」(PDF)は、理事会が行うべき、また合理的に行うべき質問の種類についての洞察を示している。これらは技術的な質問ではなく、ガバナンスと保証に関する質問であり、取締役会のメンバーが気軽に質問し、その答えをテストするためのものである。
Engaging strategically 戦略的に関与する
As the authority for cyber security in your organisation, you must elevate your conversations with board members and other senior decision makers so that they connect ‘cyber’ with the overall business challenges and context. You need to connect what you want to tell the Board with what is most important to them (and therefore what they are interested in hearing about). 組織におけるサイバーセキュリティの認可者として、取締役会メンバーやその他の上級意思決定者との対話を強化し、「サイバー」をビジネス全体の課題や背景と結びつける必要がある。取締役会に伝えたいことを、取締役会にとって最も重要なこと(したがって、取締役会が聞きたがっていること)と結びつける必要がある。
Presenting to senior business leaders – with all their necessary challenges and push-back – can feel daunting. By taking the time to elevate the discussion to the strategic level, to understand your Board audience and to communicate clearly, you have a greater chance of winning their confidence and support. シニアビジネスリーダーにプレゼンするのは、必要な課題や反発もあり、大変なことだと感じるかもしれない。時間をかけてディスカッションを戦略的なレベルに引き上げ、取締役会の聴衆を理解し、明確なコミュニケーションをとることで、彼らの信頼と支持を得られる可能性が高まる。
Being able to engage Board members and executives is a fundamental aspect of your role which grows the cyber capability within your organisation, and develops your own skills as a communicator. More pressingly, if you fail to engage strategically, then you are less likely to receive the investment and resources needed to mitigate the increasingly complex and sophisticated threat landscape. 取締役や経営幹部を引き込むことは、あなたの役割の基本であり、組織内のサイバー能力を高め、あなた自身のコミュニケーターとしてのスキルを向上させる。さらに重要なことは、戦略的な関与ができなければ、複雑化・高度化する脅威の状況を緩和するために必要な投資やリソースを受けられなくなるということである。
Own the problem 問題を把握する
If you find yourself thinking ‘I’ve explained it three times and they still don’t get it!’, then ask yourself how you can change your approach so that: 3回説明してもまだ理解されない!」と思ったら、次のようにアプローチを変えることができるか自問してみよう:
・the executive and governance of your organisation are engaged ・組織の経営陣とガバナンスが関与している。
・you feel confident that the risks you’ve outlined are understood ・説明したリスクが理解されていると確信できる。
・your work plan is summarised well and it is clear that progress is being made ・作業計画がうまくまとめられ、進捗していることが明らかである。
The crucial first step is to recognise that - rightly or wrongly - this is your problem to solve. You will need to work with the audience as you find them, which may not be the audience you’d perhaps wish you had. 重要な最初のステップは、善かれ悪しかれ、これがあなたの解決すべき問題であることを認識することである。聴衆は、あなたが望む聴衆ではないかもしれない。
Provide a holistic view 全体的な視点を提供する
Cyber security. IT Infrastructure. Infosec. Online fraud. A specialist might understand why fraud, data theft and malicious attacks are treated as discrete topics, but from a Board’s perspective, these distinctions will often seem academic. サイバーセキュリティ。ITインフラ 情報セキュリティ オンライン詐欺。専門家であれば、詐欺、データ窃盗、悪質な攻撃が個別のトピックとして扱われる理由は理解できるかもしれないが、取締役会から見れば、これらの区別は学問的に見えることが多いだろう。
It’s not the Board’s problem to understand the minutiae, or how the different facets of cyber security, which maybe ‘owned’ by different parts of the organisation, fit together. They need to be confident that everything is being addressed through a cohesive approach, and there are no gaps in your mitigation plan. 細かいことを理解するのは取締役会の問題ではないし、サイバーセキュリティのさまざまな側面(組織のさまざまな部分が「所有」しているかもしれない)がどのように組み合わされているかを理解するのも取締役会の問題ではない。取締役会は、すべてが一貫したアプローチで対処されており、低減計画にギャップがないことを確信する必要がある。
Be clear on the definition and components of what cyber security means in your organisation, and be clear about who owns which parts. Work with your colleagues to provide the holistic view a Board needs. 組織におけるサイバーセキュリティの定義と構成要素を明確にし、誰がどの部分を所有するかを明確にする。取締役会が必要とする全体的な視点を提供するために、同僚と協力する。
Advise rather than educate 教育するのではなく、助言する
Board members rely on advice from experts - like you - to discharge their governance responsibilities. It’s not your role to train them to do your job, but instead to put them in a position where they can make informed decisions about corporate strategy and cyber risks. Boards do this all the time with different type of risk, such as financial risk, and one of the Boards functions is to approve statutory financial accounts. They can do this without understanding the intricacies of the local accounting and tax rules their organisations operate in. Instead Boards rely on their financial teams, and take advice from accountants and specialists to do so. 理事会のメンバーは、ガバナンスの責任を果たすために、あなたのような専門家からのアドバイスを頼りにしている。あなたの役割は、取締役に仕事を教えることではなく、取締役が企業戦略やサイバーリスクについて十分な情報を得た上で意思決定できるようにすることである。取締役会は、財務リスクなど様々な種類のリスクについて常にこのようなことを行っており、取締役会の機能の1つは法定財務会計を承認することである。取締役会は、各組織が活動する地域の会計や税務の複雑な規則を理解しなくても、これを行うことができる。その代わりに、取締役会は財務チームを頼りにし、会計士や専門家から助言を得ている。
Ultimately it is Boards and executives who are accountable for risk decisions about cyber security. In some industry sectors they may have specific regulatory obligations. It is your responsibility to put them in a position so the Board - with advice from you - can make those decisions. 最終的にサイバーセキュリティに関するリスク決定の責任を負うのは、取締役会と経営陣である。業種によっては、特定の規制上の義務を負っている場合もある。取締役会が、あなたからのアドバイスを受けながら、そのような意思決定を行えるような状態にすることは、あなたの責任である。
Be open to external scrutiny 外部からの精査を受け入れる
Finance teams expect to be audited. 財務チームは監査を受けることを期待している。
Health and Safety teams expect to be inspected. 安全衛生チームは検査を受けることを期待している。
Cyber security functions should expect the same, especially over critical matters or significant investments. It can feel uncomfortable when people question our work, but Boards will naturally seek independent assurance from external specialists on critical matters. Back up your assertions and facts from trusted and approved third parties (such as the NCSC website and the Cyber Security Toolkit for Boards). サイバーセキュリティ機能も、特に重要事項や重要な投資については、同じことを期待すべきである。私たちの仕事に疑問を投げかけられると不快に感じるかもしれないが、取締役会は、重要な事項については、当然、外部の専門家から独立した保証を求める。信頼され、承認されたサードパーティ(NCSCのウェブサイトやCyber Security Toolkit for Boardsなど)から主張と事実の裏付けを取る。
Communicating clearly 明確にコミュニケーションする
Whether you’re presenting or writing, the Board may well be interested in what you have to say, but the way in which you convey it will either encourage them to take note, or to stop listening. This section contains some tips that can help you refine your messaging. プレゼンであれ文書作成であれ、取締役会はあなたの発言に関心を持っているかもしれないが、それをどのように伝えるかによって、取締役会の関心を引くか、あるいは聞くのをやめてしまうかが決まる。このセクションでは、メッセージングを洗練させるのに役立つヒントをいくつか紹介する。
To get busy boards to engage with cyber, you’ll need to communicate in a language that resonates with their business mindset, and share updates concisely, using a business-focused approach (with minimal technical detail) for maximum impact. 多忙な理事会にサイバーに関心を持ってもらうためには、彼らのビジネスマインドに響く言葉でコミュニケーションし、インパクトを最大化するために(技術的な詳細を最小限に抑え)ビジネスに焦点を当てたアプローチで簡潔に最新情報を共有する必要がある。
Pick a model and stick with it モデルを選び、それにこだわる
Using a consistent structure across your communications (which you can use over and over again) is very helpful when dealing with an audience who engages with the topic infrequently. It’s helpful to give your audience a way of thinking about something; it's less helpful to be given two ways to think about it. It’s even more unhelpful if you get a new one every time you address the Board. コミュニケーション全体で一貫した構造を使う(何度でも使える)ことは、そのトピックに関わる頻度が低い聴衆を相手にする場合に非常に役立つ。聴衆に何かについて考える方法を与えることは有益だが、それについて考える方法を2つ与えられるのはあまり有益ではない。理事会で演説するたびに新しいものが出てくれば、なおさら役に立たない。
If you are new to the organisation, take time to understand how they work, and their existing content and practices. Obviously, this will vary with each organisation. Some organisations will have standardised reporting structures for risks and investment programmes, others may have a suite of dashboards and KPIs in place, or a mixture of these. Whatever is used, make it work for you, don’t work against it. その組織で働くのが初めての場合は、その組織がどのように働いているのか、既存の内容や慣行を理解するのに時間をかけること。もちろん、これは組織によって異なる。リスクや投資プログラムについて標準化された報告構造を持っている組織もあれば、一連のダッシュボードやKPIを導入している組織もあるだろうし、これらが混在している組織もあるだろう。どのようなものを使うにせよ、自分のためになるようにし、不利にならないようにする。
You’ll also need a simple way to report what you have been doing. If you are using a formal cyber framework, then the headings from there might be useful (taking care to avoid the complexities of the frameworks), or use the NCSC’s 10 Steps to Cyber Security. Or make your own. また、何を行っているかを報告する簡単な方法も必要である。正式なサイバーフレームワークを使用している場合は、そのフレームワークの見出しが役に立つかもしれない(フレームワークの複雑さを避けるように注意する)。あるいは自分で作る。
Keep it simple シンプルにする
Perhaps the most frequent complaint from Boards is that cyber experts use technical language and jargon when describing unfamiliar topics. Given this, it's no surprise that many board members struggle to unpick and engage with cyber security. Whilst the appropriate level and language to communicate will depend on the organisation, natural language that’s free from jargon and acronyms is the order of the day. Simple descriptions will always work better. おそらくボードから最も頻繁に寄せられる苦情は、サイバー専門家が馴染みのないトピックを説明するときに専門用語や専門用語を使うというものだ。このことを考えると、多くの理事がサイバーセキュリティを理解し、関与するのに苦労するのは当然である。コミュニケーションに適切なレベルや言語は組織によって異なるが、専門用語や略語を使わない自然な表現が重要である。シンプルな説明が常に効果的である。
This challenge is heightened by Boards who are required to switch context between multiple subjects while reading Board papers and in meetings. この課題は、取締役会報告書を読んだり会議を開いたりする際に、複数の主題の間で文脈を切り替えることを求められる取締役会によって、より大きくなる。
For example, the following definition ‘The firewall controls network traffic entering and leaving our organisation’ is neither over-simplified nor patronising. Don’t be frightened to explain things at (what you consider to be) an absurdly high-level. You can always add detail if required, which is much easier than starting with the details and then having to work back up. 例えば、次の定義「ファイアウォールは、組織に出入りするネットワークトラフィックを制御する」は、単純化しすぎていないし、恩着せがましくもない。物事を(あなたが考える)とんでもなく高いレベルで説明することに怯んではいけない。必要であればいつでも詳細を加えることができるし、詳細から始めてから作業をやり直すよりずっと簡単だ。
Technical teams tend to talk about the names of systems or the vendor that provides those systems (or both at once). This is not helpful. Don’t talk about ‘CyberPro18.2 as our End Point Protection’. Instead talk about ‘protecting PC and servers from viruses and other types of malware’. 技術チームは、システムの名前か、そのシステムをプロバイダしているベンダーの名前(あるいはその両方)について話しがちだ。これは役に立たない。当社のエンドポイントプロテクションはCyberPro18.2です」と話してはいけない。代わりに「ウイルスやその他の種類のマルウェアからPCやサーバーを保護する」ことについて話す。
Use diagrams and images to aid comprehension if that is what your Board prefers. The NCSC Cyber Security Toolkit for Boards is a great resource for board-ready communication collateral covering the cyber domain. 理事会が望むのであれば、理解を助けるために図や画像を使用する。NCSC Cyber Security Toolkit for Boards(理事会向けサイバーセキュリティツールキット)は、サイバー領域をカバーする理事会対応のコミュニケーション資料として最適である。
Less is more 少ないことは多いことだ
Brevity is good. Use fewer words. Use more headings and fewer blocks of text than you would when addressing technical teams. Favour ‘executive summaries’ (that is, a summary of your whole argument) over ‘introductions’ (which oblige your audience to read more). This isn’t about dumbing down or leaving out important parts of the story. You must give a complete and balanced view. This is not easy. It sometimes feels rude or terse. Work at it if you want to get heard. 簡潔であることが良い。言葉を少なくする。技術チームと話すときよりも見出しを多く使い、文章のブロックは少なくする。エグゼクティブサマリー」(つまり、あなたの主張全体を要約したもの)は、「序文」(聴衆にもっと読むよう義務づけるもの)よりも好まれる。これは、話の重要な部分を省略したり、ダブらせたりすることではない。完全でバランスの取れた見解を述べなければならない。これは簡単なことではない。時には無礼に感じたり、辛辣に感じたりすることもある。話を聞いてもらいたければ、努力することだ。
It’s important to remember that the more complex the subject matter (and cyber security can be complex), the simpler the language needs to be. There’s lots of evidence and usability studies that support thisEveryone likes clear language, and this includes highly educated Board members who are experts in their own fields and don’t have time to read pages of dry technical prose. 題材が複雑であればあるほど(そしてサイバーセキュリティは複雑であるほど)、シンプルな表現にする必要があることを忘れてはならない。これを裏付ける証拠やユーザビリティの研究はたくさんある。誰もがわかりやすい言葉を好むが、これには、各分野の専門家であり、何ページにもわたる乾いた技術的な文章を読む時間がない高学歴の取締役も含まれる。
Prepare and rehearse 準備とリハーサル
You may know your stuff technically, but do you know it so well you can explain it effortlessly without drifting into too much technical detail and language? We expect Board-level communication to be at the very highest level of quality, so it’s worth sweating over, and getting it right. 技術的な知識は豊富かもしれないが、技術的な詳細や言い回しに流されることなく、すらすらと説明できるほど熟知しているだろうか?取締役会レベルのコミュニケーションには、最高レベルの品質が求められる。
If you are uncomfortable presenting to a senior business audience, or perhaps just daunted a little by the Board, find someone you can partner with when presenting. This will ideally be a ‘cyber champion’ on the Board or Exec team who can help you with content and also help you field questions. 上級のビジネス聴衆にプレゼンするのが苦手な場合、あるいは取締役会が少し怖い場合は、プレゼンの際にパートナーになれる人を見つけよう。理想的には、取締役会や役員チームの「サイバー・チャンピオン」であり、コンテンツについて手助けしてくれたり、質問に答える手助けをしてくれたりする人だ。
Make sure you check and test your content with your manager and/or the executive responsible for cyber security. Executives have managers too; they don’t want to be surprised or embarrassed by content that the Board will see. あなたの上司やサイバーセキュリティ担当役員に、必ず内容を確認し、テストしてもらうこと。役員にも管理職がいる。彼らは、取締役会に見られるような内容で驚いたり恥をかいたりしたくないのだ。
Communications around cyber - especially in the media - are often fear inducing. You can counter that when presenting with non-alarmist, measured communications that shows how this very real threat can be managed and mitigated. Tone and body language are important here too. You should be upbeat and positive about the work you have done and the challenges in front of you. サイバーにまつわるコミュニケーションは、特にメディアでは恐怖心を煽ることが多い。この現実的な脅威をどのように管理し、低減できるかを示す、非警戒主義的で慎重なコミュニケーションを提示することで、これに対抗することができる。ここでもトーンとボディランゲージが重要だ。自分のやってきた仕事と目の前の課題に対して、明るく前向きであるべきだ。
To sum up… まとめると...
Following this advice will help improve your engagement with Board members on this important strategic topic. By doing so you are more likely to receive the investment and resources you need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. このアドバイスに従うことで、この重要な戦略トピックに関する取締役会とのエンゲージメントを改善することができる。そうすることで、必要な投資やリソースを受けられる可能性が高くなり、最終的にサイバーセキュリティのリスクを低減し、事業が価値創造業務に集中できるようになる。




・2024.10.07 How to talk to board members about cyber

How to talk to board members about cyber 取締役会にサイバーについてどう話すか
New guidance helps CISOs communicate with Boards to improve oversight of cyber risk. 新しいガイダンスは、CISOがサイバーリスクの監督を改善するために取締役会とコミュニケーションするのに役立つ。
Improving the management of cyber risks in organisations has been the central motivation behind our Cyber Security Toolkit for Boards, which helps boards to embed cyber resilience and risk management throughout their organisations, systems, technologies and staff. このツールキットは、取締役会が組織、システム、テクノロジー、スタッフ全体にサイバーレジリエンスとリスクマネジメントを組み込むことを支援するものである。
However, for some time the NCSC has been aware of a ‘skills gap’ in how cyber security risk is overseen at the board level. To explore this more fully, we commissioned research specialists Social Machines to obtain a better understanding of this perceived ‘lack of board engagement with cyber security and cyber-related decision-making’.  しかし、NCSCはしばらくの間、取締役会レベルにおけるサイバーセキュリティリスクの監督方法における「スキルギャップ」を認識していた。これをより詳細に調査するため、NCSCは、「取締役会がサイバーセキュリティやサイバー関連の意思決定に関与していない」という認識についてより深く理解するために、調査のスペシャリストであるソーシャル・マシーンズ社に調査を依頼した。
The research included interviews with board members, CISOs and other cyber security leaders in medium to large organisations. Whilst some of the key themes could perhaps have been predicted (such as how boards find the excessive use of technical language and jargon as barriers to understanding), other findings were more unexpected - and concerning. 調査には、中規模から大規模の組織の取締役、CISO、その他のサイバーセキュリティリーダーへのインタビューが含まれた。いくつかの主要なテーマは予想できたが(例えば、専門用語や専門用語の多用が取締役会の理解を妨げているなど)、他の発見は予想外であり、懸念すべきものであった。
For example, 80% of participants were unsure of where accountability for cyber resided. We found that in many organisations, the CISO (or equivalent role) thought that the Board was accountable, whilst the Board thought it was the CISO. This lack of clarity is compounded by a ‘lack of expertise’ reported by 60% of the participants. As a result of their limited understanding of the risks, Boards believed they were unable to offer the necessary oversight. 例えば、参加者の80%が、サイバーに関する説明責任がどこにあるのか分からなかった。多くの組織で、CISO(またはそれに相当する役割)が取締役会に説明責任があると考えている一方で、取締役会はCISOだと思っていることがわかった。このような明確性の欠如は、参加者の60%が報告した「専門知識の欠如」によってさらに深刻化している。リスクに対する理解が乏しいため、取締役会は必要な監督を行えないと考えている。
For their part, CISOs stated that they didn’t feel the need to involve the Board because they believed that the Board would struggle to understand their technical explanations. CISO側は、取締役会が技術的な説明を理解するのに苦労すると考えているため、取締役会に関与する必要性を感じていないと述べている。
Board-level cyber discussions: communicating clearly is new guidance from the NCSC that addresses head on the issues raised by the Social Machines research. It encourages CISOs and other cyber security leaders to ‘step up’ to this challenge, and offers practical tips to help you engage strategically with the board to improve the management of cyber security risk.  取締役会レベルのサイバーディスカッション:明確なコミュニケーション」はNCSCによる新しいガイダンスで、ソーシャルマシンの調査によって提起された問題に正面から取り組んでいる。このガイダンスでは、CISOやその他のサイバーセキュリティリーダーがこの課題に「ステップアップ」することを奨励し、サイバーセキュリティリスクマネジメントを改善するために取締役会に戦略的に関与するのに役立つ実践的なヒントを提供している。
As the authority for cyber security in your organisation, it’s up to CISOs to elevate their conversations with board members (and other senior decision makers) so that they connect ‘cyber’ with the overall business challenges and context. This means CISOs must engage with Boards on their terms and in their language to ensure the cyber risk is understood, managed and mitigated. The guidance explains that a crucial first step is to recognise that - rightly or wrongly - this is the CISO’s problem to solve, and they need to work with the audience as they find it (which may not be the audience they wish they had). 組織におけるサイバーセキュリティの認可者として、取締役会メンバー(およびその他の上級意思決定者)との対話を強化し、「サイバー」を全体的なビジネス上の課題や背景と結び付けられるようにすることは、CISOにかかっている。つまり、CISOは、サイバー・リスクが理解され、マネジメントされ、低減されるように、彼らの言葉で取締役会に関与しなければならない。このガイダンスでは、重要な第一歩として、善かれ悪しかれ、これはCISOが解決すべき問題であり、CISOは、彼らが見つけた聴衆(それは彼らが望む聴衆ではないかもしれない)と協働する必要があることを認識する必要があると説明している。
As the research underlines, most Board members do not have in-depth cyber security knowledge. That’s not their role. Cyber security leaders, on the other hand, do have detailed knowledge of the domain, but are less experienced in communicating technical matters to Board or senior executive teams. As cyber professionals, it the CISO’s job to bridge this gap to provide better cyber security outcomes.  この調査で明らかになったように、ほとんどの取締役会メンバーはサイバーセキュリティに関する深い知識を持っていない。それは彼らの役割ではない。一方、サイバーセキュリティリーダーは、この分野の詳細な知識を持っているが、技術的な事柄を取締役会や上級役員チームにコミュニケーションした経験はあまりない。サイバーの専門家であるCISOの仕事は、このギャップを埋めてより良いサイバーセキュリティの成果を提供することである。
The new guidance forms the latest part of the Cyber Security Toolkit for Boards, and will help the CISO better understand the responsibilities and mindset of boards, and how to best explain this complex subject. By doing so, cyber security leaders are more likely to receive the investment and resources they need, ultimately reducing the cyber security risk and enabling the business to focus on its value-creating work. この新しいガイダンスは、「取締役会のためのサイバーセキュリティ・ツールキット」の最新版であり、CISOが取締役会の責任や考え方、この複雑なテーマについてどのように説明すればよいかをよりよく理解するのに役立つ。そうすることで、サイバーセキュリティ・リーダーが必要な投資とリソースを受けられる可能性が高まり、最終的にサイバーセキュリティ・リスクを低減し、ビジネスが価値創造業務に集中できるようになる。







・2023.03.30 Cyber Security Toolkit for Boards


Cyber Security Toolkit for Boards 取締役会向けサイバーセキュリティ・ツールキット
Cyber security 101 for Board Members 取締役向けサイバーセキュリティ入門
This document provides a sample script of questions to discuss at your next board meeting. この文書では、次回の取締役会で話し合うための質問のサンプルスクリプトを提供する。
Executive summary エグゼクティブサマリー
This document summarises the content of each section of the Board Toolkit. この文書は、取締役会ツールキットの各セクションの内容を要約したものである。
Questions for the board to ask about cyber security 取締役会がサイバーセキュリティについて尋ねるための質問
This document briefly summarises each module of the toolkit. It then provides a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance. この文書では、ツールキットの各モジュールを簡単に要約する。その上で、取締役会が組織のパフォーマンスを評価する際に利用できる一連の質問(可能な回答付き)をプロバイダとして提供する。






・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)


