CFOとサイバーセキュリティ: 最大の脅威とその防止策

Mark Jackley | コンテンツ・ストラテジスト | 2024年3月27日

サイバー攻撃はほとんどの組織にとって大きな財務リスクとなるため、最高財務責任者(CFO)はサイバーセキュリティにおいて重要な役割を果たします。CFOは、最高情報セキュリティ責任者(CISO)と緊密に連携し、財務リスクに基づいて潜在的な脅威に優先度を設定し、それに応じて防御を維持し、最終的にこれらのリスクの軽減を支援します。

CFOがサイバーセキュリティに配慮すべき理由

サイバー攻撃は、組織にさまざまな方法でコストをもたらす可能性があります。IBMとPonemon Instituteの調査によると、2023年のデータ侵害による全世界の組織の平均コストは445万ドルでした。2023 Verizon Data Breach Investigations Reportによると、攻撃の95%近くが、政治的、社会的、個人的な理由ではなく、金銭的な利益を目的として行われています。

顧客のクレジットカード番号や従業員のネットワーク・パスワードなど、機密データはよく狙われます。また、偽のベンダーの請求書や給与詐欺、ランサムウェア攻撃によって、昔ながらの資金もよく狙われます。Deloitte Center for Controllershipによる2023年の調査によると、上級管理職の半数近くが、会計・財務に対する攻撃は悪化すると考えています。さらに、セキュリティ侵害によって組織の評判が損なわれることによる財務コストもあります。

米国証券取引委員会の新しい規制もCFOの注目を集めています。SECは、上場企業に対し、サイバーセキュリティ・プログラムの定期的な更新とともに、サイバーセキュリティ・インシデントに関する「意思決定に役立つ」情報を投資家に提供することを必要とする規則を採択しました。この規則では、サイバーセキュリティ・インシデントが「重要なもの」、つまりほとんどの投資家が重要と考えるものであると企業が判断した場合、4日以内にSECに通知することも要件となっているようです。

もう1つの規制上の義務は、米国政府機関に対し、政府機関全体のセキュリティ対策の策定、ドキュメント、実施を求める連邦情報セキュリティ管理法(FISMA)です。法律の遵守は主にCISOの責任ですが、政府機関のCFOはその要件に留意する必要があります。

主なポイント

  • リスク管理のエキスパートとして、CFOはCISOと協力し、企業の財務リスクに基づいてサイバー脅威と防御の優先度を設定する必要があります。
  • サイバー・リスクを評価するために、CFOはサイバー攻撃のテクニックや、それに対抗するための戦略およびテクノロジーについて確かなナレッジを得る必要があります。
  • CFOはますます、サイバーセキュリティ計画への貢献、セキュリティ予算のレビュー、セキュリティ準備の効果をモニターするようになっています。

CFOとサイバーセキュリティの説明

CFOはサイバーセキュリティのエキスパートではありませんが、リスク管理のエキスパートです。そのため、組織のシステムとデータの保護に責任を持つCISOとは自然な協力関係にあります。CFOは、サイバーセキュリティ計画について相談を受け、それらが企業全体の財務リスクを反映していることを確認する必要があります。組織の最も機密性が高く、貴重なデータを処理および保存するシステムを十分に保護しているでしょうか。従業員が組織全体にわたり、不正なメール、電話、その他の詐欺を検知できるよう支援しているでしょうか。最高リスク管理監視役として、CFOは組織のサイバー・リスクのレベルが許容可能だと確信している必要があります。

また、CFOにはサイバーセキュリティを含む規制レポートの義務があります。米国証券取引委員会、欧州連合の一般データ保護規則、カリフォルニア州の消費者プライバシー法などが定める規則へのコンプライアンスに密接に関わっています。CFOは、顧問弁護士、内部監査人、CISOなどとコラボレーションしてコンプライアンスを確保します。また、サイバーリスク管理、戦略、ガバナンスの年次開示に加え、サイバー・インシデントの開示に関する役員会からの質問も受けます。

コンプライアンスを追求する上で、CFOは数多くの主要要素のバランスを取る必要があります。たとえば、SECは投資家が重要とみなすあらゆる「重要なインシデント」の開示を必要としています。もちろん、CFOは財務指標を用いて何が重要か、その結果何を開示すべきかを決定しますが、顧客情報への小規模な攻撃でさえも風評に及ぼす影響など、より定性的な要因も考慮する必要があります。

CFOにとってのサイバーセキュリティ・リスク・トップ5

このオンラインファーストのビジネス世界では、企業がアプリケーションをこれまで以上に迅速かつ多くのユーザーに展開することにより、サイバー攻撃者が利用可能な「脅威ベクトル」が拡大しています。また、企業はアプリケーションとサプライヤーやパートナー、その他外部のシステムとの統合をますます進めています。

攻撃者は、ターゲットとする環境にかかわらず、サイバー防御を回避する新しい方法を常に試しています。CFOは、技術的なニュアンスをすべて把握する必要はありませんが、攻撃者の最も効果的な手法は理解しておく必要があります。多くの攻撃は、以下の5つの基本的なタイプに新たな工夫を加えたものです。

1. ビジネスメール侵害

ビジネスメール侵害(BEC)は、メールを使って人を操るサイバー攻撃です。たとえば、攻撃者は、不正な送金要求や偽のベンダー請求書を通じて、受信者を欺いて送金させようとします。このようなBECは、通常、会計・財務、調達、および給与計算チームをターゲットとしています。BECはフィッシング攻撃の一種です。他のフィッシング詐欺は、受信者を欺いてパスワードの開示、クレジットカード番号の提供、マルウェア・リンクのクリックをさせようとします。

米国連邦捜査局によると、2013年から2022年の間に、BEC攻撃による組織の被害額は全世界で510億ドルに上ります。メール・セキュリティ企業であるAbnormal Securityのレポートによると、2023年上半期、BEC攻撃は2022年上半期と比較して55%増加しました。

2. サプライチェーン攻撃

サプライチェーン攻撃は、その用語が示すように、企業がベンダーから購入するもの、通常ソフトウェア・プログラムをターゲットとします。ソフトウェア・プログラムの脆弱性を悪用することで、攻撃者はそのソフトウェアを使用している複数の企業へのバックドア・アクセスを取得することができます。攻撃者は、知的財産、顧客データ、その他の情報資産を含むプライベート・ネットワークへのアクセスを手に入れます。最も悪名高い例は、人気の高いネットワーキング・ツールを破壊し、主要な米国政府機関や多国籍企業の情報漏えいを引き起こした2020年の攻撃です。サプライチェーン攻撃は、スパイ活動や重要インフラストラクチャの混乱を図ろうと試みる国家の支援を受けたアクターに関連するものですが、金銭的な動機に基づく犯罪者もこのような攻撃を仕掛けています。

3. 公開されたデータベース

公開されたデータベースとは、パブリックに公開されたWebサイトやアプリケーションをサポートするデータベースのことで、ユーザー認証情報、セキュアな構成、適切なセキュリティ設定、データベースの導入における監視などのセキュリティ対策による保護が施されていないため、攻撃対象となりやすくなっています。新型コロナウイルスのパンデミックの期間中、リモートワークが増加し、セキュアではないデータとそれに起因する攻撃が増加しました。2023年、シンガポールを拠点とするセキュリティ企業であるGroup IBは、このようなデータベースがオープンWeb上に40万件近くあることを明らかにしました。また同社は、この問題を知ったデータベース所有者は、その修正に平均170日をかけ、データ漏洩や従業員や顧客への追撃攻撃のリスクにさらされていることを突き止めました。セキュリティ・プロバイダーであるKrollが2022年に実施した調査では、53%の組織がセキュアなデータベースへの攻撃によってネットワークが侵害されたと回答しました。

4. 内部脅威

内部関係者とは、従業員、元従業員、請負業者、ベンダー、その他の関係者のことで、それらの企業のシステムおよびネットワークへの特別なアクセスがセキュリティ上の脅威となる可能性があります。内部関係者は、企業のシステムをダウンさせ、データを盗むために意図的に行動する者と、セキュリティ・トレーニングが不十分であったり、単に手順に従わないために意図せずにセキュリティ・ギャップを引き起こす者の2つのカテゴリに分類されます。ITベンダーであるDTEX SystemsとPonemon Instituteが、さまざまな業種や規模の組織をサンプルとして実施した調査によると、内部脅威インシデントが組織にもたらす総コストの平均は、2022年の1,540万ドルから昨年1,620万ドルに増加しました。

5. ランサムウェア

ランサムウェアは、攻撃者が企業のデータを暗号化するために使用するタイプのマルウェアで、多くの場合、侵害されたソフトウェアや偽のメールにより配信され、暗号化を解除するために金銭的な身代金を要求します。ランサムウェアが起動すると、従業員は主要なシステムやデータにアクセスできず、業務が遂行不能になり、組織が要求された身代金を支払ってアクセスが正常に戻るまで、運用が停止します。特にサイバー保険が損失の一部をカバーする場合、身代金を支払う方が運用のダウンタイムよりもコストが低いと判断する企業もあります。しかし、ひとたび支払いが行われれば、攻撃者がデータを解放するための復号化キーを提供するという保証はありません。セキュリティ・ベンダー、Sophosの報告によると、2023年のランサムウェアに対する平均支払額は154万ドルでした。昨年10月、50か国の政府機関からなる米国主導の「ランサムウェア対策イニシアチブ」は、サイバー犯罪者に身代金を支払わないことを誓約しました。

サイバー攻撃:主な統計
55%
2023年1月から6月までのビジネスメール侵害攻撃の増加率
1,380億ドル
サプライチェーン攻撃に関連する2023年の世界的な被害額の予測
74%
2023年に内部脅威に対してやや脆弱~極めて脆弱と考えられる組織の割合
154万ドル
2023年におけるランサムウェア平均支払額

出典: Abnormal Security、Cybersecurity Insiders、Sophos

サイバーセキュリティにおけるCFOの役割

CFOは、CISOと協力してサイバー・リスクに優先順位を付けるだけでなく、セキュリティ計画の作成、セキュリティ予算の策定、セキュリティ対策の有効性と準備態勢の監視などを支援するケースが増えています。

サイバーセキュリティ・リスクの把握

サイバーセキュリティ・リスクを把握するために、CFOは財務リスクに基づいて優先順位を付けます。そのためには、CISOと協力して、機密データや決済を管理する重要なアプリケーションが適切に防御されていることを確認する必要があります。また、最小特権の原則を導入し、組織内のさまざまな役割を持つ人々がデータやトランザクション機能に適切なレベルでアクセスできるようにすることも重要です。例えば、サプライチェーン・マネジャーであれば、調達システムにアクセスし、トランザクションを実行または承認する権限が必要かもしれません。経理のスペシャリストは、そのようなシステムへのアクセスは必要ないかもしれませんが、会計・財務システムへのアクセスは必要でしょう。同様に、ベンダー支払いを設定できるのは、権限を与えられた従業員だけであるべきです。

クリティカルなアプリケーションは、通常、会計・財務(売掛金や買掛金)、サプライチェーン・マネジメント(調達)、人事(給与システム)に集中しています。金融やヘルスケアのような特定の分野では、顧客や患者のデータを管理するアプリケーションを保護することが最も重要です。

オラクルのシニア・プロダクト・ディレクターで、以前はグローバル・フィンテック企業のBroadridge Financial Solutionsでガバナンス、リスク、コンプライアンス戦略を統括していたAman Desouzaは、次のように述べています。「サイバーセキュリティは万能ではありません。アプリケーションの重要性はそれぞれ異なります。CISOは、CFOや他の経営幹部と協力して、企業リスクに優先順位をつけ、重要な資産を守る必要があります。そして時には、CFOがCISOの考え方に異議を唱えることも必要です。」

サイバー攻撃の潜在的な影響を評価する際、CFOは目先の金銭的損失だけでなく、生産性、ブランドイメージ、顧客関係、企業コンプライアンスへの永続的な影響も考慮すべきです。

サイバーセキュリティ計画の策定

組織構造はさまざまですが、サイバーセキュリティ計画は、主にCISOが監督し、さまざまな部門と連携して進めるのが一般的です。しかし、サイバー攻撃は収益に深刻なリスクをもたらすため、CISOは計画策定プロセスにおいてCFOに意見を求める必要があります。さらに、SECの新しい規制の導入に伴い、米国の上場企業のCFOは、具体的なサイバーセキュリティのリスク管理、戦略、ガバナンスの詳細を年次報告書に盛り込むことが義務付けられています。このため、CFOとCISOは、これらの事項について緊密に連携する必要があります。

すべての計画には、サイバーセキュリティ・リスクの評価を含める必要があります。CFOは、さまざまなデータの重要性と、セキュリティ侵害がもたらす潜在的な法的影響や評判を比較検討することで、サイバーリスクを評価します。CFOはまた、機密データの保管を第三者に委託するリスク、特にサイバーセキュリティ保険の適用範囲への影響、SECやその他の規則へのコンプライアンス違反のリスクについても考慮します。

計画のもう一つの重要な要素として、既存のセキュリティツールやプロセスの評価があります。CISOは技術的な機能に基づいてツールを評価しますが、CFOは、これらのツールと関連プロセスが、特に金融や決済のアプリケーションなど、重要な資産を確実に保護できることを優先します。また、費用対効果分析を行うことで、CFOはセキュリティ技術への投資を評価し、CISOがCEOや取締役会にセキュリティ予算を提示する際に役立つ貴重なインサイトを提供することができます。

最適な計画とは柔軟性が高く、例えばAIを活用したディープフェイク(経営陣の非常にリアルなフェイク画像)のような新たな脅威にも対応できるものです。CNNによると、電話会議でディープフェイク・ビデオを使って財務担当の従業員をおびき寄せ、攻撃者の銀行口座に2,560万ドルを送金させたという事件も報告されています。柔軟性の高い計画は、生成AIを活用したものなど、最先端のセキュリティ・ツールにも対応しており、ネットワークの異常や悪意のある活動の検出をより効率的に行うことができます。

サイバーセキュリティ予算の策定

サイバーセキュリティ計画と同様に、CISOは、サイバーセキュリティ予算の提案においてもリーダーシップを発揮します。ほとんどの企業では、CFOがこのプロセスで相談役となり、予算の見直し、質問、提案を行います。CFOは、セキュリティ支出を検討する際に、専門知識を持つ人材、攻撃を検知して対処するテクノロジー、サイバーリスクとセキュリティ・コンプライアンスを監視するツールへの投資を検討します。

セキュリティ・コンサルティング会社IANS Research の2023年の調査によると、2022年から2023年の予算サイクルでは、サイバーセキュリティ予算の伸び率は緩やかなものでした。たとえば、テクノロジー企業のセキュリティ予算は平均でわずか5%増にとどまり、2021年から2022年のサイクルでは30%以上の急増が観察されたことと比べると、その差は歴然としています。しかし、他の業界と比較すると、IT支出全体に占めるセキュリティ予算の割合は、ハイテク企業が19.4%と最も高くなっています。一方、小売業界では、IT予算の平均7.2%をセキュリティに割り当てています。

資金繰りが厳しくなると、CFOは次のような難しい質問に答える必要があります。提案された予算は企業目標に合致しているか?組織を守り、リスクを低減するための取り組みに適切に資金が投入されているか?

サイバーセキュリティへのリソース配分

サイバーセキュリティ予算が決まったら、CISO は、熟練した専門家の雇用、従業員向けセキュリティ・トレーニング・プログラムの拡充、新しいセキュリティ・ソフトウェアの購入、よりセキュアなクラウド・ビジネス・モデルへの移行など、リスク削減のために最も必要な場所にリソースが割り当てられているかどうかを確認します。CFOは、リソースの配分が財務リスクの優先順位と一致するよう、引き続きガイダンスを提供します。例えば、多要素認証ツールに資金を割り当てる場合、CFOは、同様のリソースを人員やプロセスの強化に割り当てる場合と比較して、この投資が侵入リスクを効果的に低減し、データ保護を強化するかどうかを評価します。

サイバーセキュリティの有効性の監視

サイバーセキュリティ計画には、有効性の監視メトリックが含まれます。これらのメトリックは、既存のリスクレベルが許容範囲とみなされるかどうかを示します。CISOは、攻撃を検出して対応するまでの平均時間などのメトリックに注目します。一方、CFOは、テクノロジーやプロセスのパフォーマンスよりもセキュリティの準備状況を評価することに重点を置きます。Desouza氏は次のように述べています。「CFOが求めるのは、セキュリティ・プログラムが強固であることの証拠です。自動監視ツールや、従業員にBECやフィッシング攻撃を見分けるよう指導するセキュリティ意識向上トレーニングなどの指標を重視します。CFOにとっては、何よりも準備が重要なのです。」

サイバーセキュリティを軽視することの代償

企業がサイバーセキュリティを軽視する(または十分な注意を払わない)と、その代償として、データ、資金、知的財産の損失が生じます。さらに、顧客の信頼低下、商取引のキャンセル、株価の下落、悪評、法的罰則にまで被害が及ぶ可能性があります。Dark Readingによると、2017年に大々的に報じられたあるセキュリティ侵害事件では、同社の株価が1週間で31%下落し、完全に回復するまで2年を要したとのことです。しかし、より一般的なのは、1桁台前半の株価下落です。

Cybersecurity Venturesの2022年の調査によると、世界のサイバー犯罪による被害額は2025年までに10.5兆ドルに達すると予想されています。セキュリティ・ベンダーのDeep Instinctは、セキュリティ専門家の75%が2022年から2023年にかけて攻撃の増加を目撃していると報告しています。

SECの企業金融部門のディレクターであるErik Gerding氏によると、SECの新しいサイバー情報開示規制では、企業はサイバーセキュリティのリスク・マネジメント、戦略、ガバナンスに関する情報を毎年開示することが義務付けられています。この義務には、重大なサイバーセキュリティ・インシデントの開示も含まれます。つまり、上場企業のCFOは、自社のサイバーセキュリティ戦略とその実践を継続的かつ包括的に理解することが求められます。また、サイバーセキュリティに関するインシデントを迅速に察知し、その重要性を評価するために必要なナレッジと人脈を有していなければなりません。これらの要件に従わない場合、企業は規制当局による制裁を受ける可能性があります。

オラクルでサイバーセキュリティ・リスクを未然に防止

財務、調達、プロジェクト管理、その他さまざまなアプリケーションで構成されるOracle Fusion Cloud Enterprise Resource Planning (ERP)スイートは、セキュリティを中核に据えて設計されています。一元化されたアクセス制御により、ネットワークの承認が簡素化され、Oracle Cloud ERPに組み込まれたセキュリティ機能が補完されるため、企業はコンプライアンスや規制上の義務を果たすことができます。

Oracle Cloud ERPスイートの不可欠なコンポーネントであるOracle Risk Management and Complianceは、包括的なセキュリティおよび監査ソリューションです。AIによるツールを備え、スイート内の財務データへのアクセスを規制し、不正の可能性のあるトランザクションを特定し、セキュリティ規制へのコンプライアンスをサポートする貴重なインサイトを組織に提供します。

CFOとサイバーセキュリティに関するよくある質問

サイバーセキュリティにおけるCFOの役割とは何ですか?
CFOは、組織のリスク管理担当者として、サイバーセキュリティへの取り組みが財務リスク管理戦略に反映されていることを確認します。CFOは、CISOが企業全体のリスクの優先順位を理解し、それに応じたセキュリティ計画と予算を策定できるよう支援します。

CFOが取得すべきサイバーセキュリティ資格にはどのようなものがありますか?
CFOが検討すべき資格の1つに、米国公認会計士協会と勅許管理会計士協会が提供するMaximizing Digital Operational Excellence Certificateがあります。この資格を取得することで、財務管理者は財務ガバナンス、セキュリティ、コントロールを強化する方法について、最新の知識を有していることを証明できます。

サイバーセキュリティにおいてCFOが果たすべき重要な責任とは何ですか?
CFOは、サイバーセキュリティ対策と財務リスク・マネジメントとの整合性を確保することに加え、CISOを支援してセキュリティ戦略や予算を微調整するという重要な役割を果たします。また、機密データや決算を管理するアプリケーションの保護も優先させる必要があります。さらに、上場企業のCFOは、その企業が事業展開している法域によっては、規制当局による開示義務の対象となる場合があります。

利益と成長を促進するためのCFO向けガイド

成長を妨げることなく、コスト削減と生産性向上を実現する5つの戦略をご紹介します。