CEOの椅子を守りたいなら、データセキュリティについて真剣に取り組みましょう

CEOs can lose their job over IT issues

過去数年、ほぼ毎週のように新たなデータ漏えい、マルウェア攻撃、ランサムウェアによる要求、リカバリ不可能な企業データの消失といったニュースが世間を騒がせました。

この種の話題は頻繁にニュースで流されるため、これらの大手企業のCEOは辞任に追い込まれました。

セキュリティ上の懸念がビジネスの重大問題となった今もなお、この問題は主にIT部門が担当する技術的問題として扱われています。ただ幸いなことに、多くの組織ではIT幹部と非ITリーダーを団結させて、セキュリティに関する懸念に対するアプローチを見直し始めています。

企業のデータをサイバー犯罪者やマルウェアから守る場合、CEOは自身が懸念しなければならない事項を知る必要がありますが、それについては既に多くの有名な実例があるため、そこから学ぶことができます。

EquifaxCEOが上院で回答

アメリカの三大信用情報会社の一つEquifaxが、2017年9月にサイバーセキュリティ侵害があったことを報告し、1億4,300万人の名前、生年月日、社会保険番号、住所、免許証番号などの情報が漏えいしたことを明らかにしました。

複数の通信社が、Equifaxの情報流出を過去10年で最大の顧客データセキュリティ問題であると報道しました。EquifaxのCEO、CIO(最高情報責任者)、CISO(情報セキュリティ最高責任者)は直後に辞任し、同社の前CEOであるマーク・ベガ―(Mark Begor)氏は現在、アメリカ合衆国上院で民間部門データ漏えいに関して、公聴会で質疑を受けています。

ベガ―氏は、アメリカ企業では2018年に1,200件のデータ漏えいがあり、この事実は、あらゆる種類の企業がこうした犯罪の標的となっていることを示していると話しました。

「これらの攻撃はもはや、一企業のセキュリティを突破しようとする地下室のハッカーの仕業ではなく、ますます高度になっていく犯罪集団や、なお厄介なことに、豊富な資金を持つ国家や国の軍事機関により行われているのです」と同氏は述べました。

同社はまた、この事件の結果、2018年から2020年にかけてさらに12億5,000ドルをセキュリティおよび情報技術に充当しました。

ターゲット社、データ流出でCEO辞任

約4年前、アメリカの巨大小売業者ターゲット(Target)社が大規模なデータハッキングを受け、クレジットカード情報4,000万件および、顧客7,000万人の住所、電話番号、その他の個人情報など、大量の顧客情報を流出させ、同社には情報漏えいにより10億ドル以上の損害が残ました。

2013年の12月にこの攻撃が公になると、ターゲット社の評判はがた落ちとなり、アメリカ国内の同一店舗売上高は第4四半期に2.5パーセント落ち込みました。

他の企業でも同様に、データ漏えいへの対応責任を幹部に負わせる圧力がかかることでしょう。

「これは、替えのきかない者は一人もいないという強烈で明確なメッセージです。CEOはあらゆる面に対して、しっかり目を光らせる必要があります」と、ニューヨークに拠点を置くBoyden Global Executive Searchのハワード・グロス氏は言います。「このようなことが起こったことで、より多くのCEOがセキュリティ面をしっかり見直し始めるでしょう」

データ漏えいが引き金となり、ターゲット社の取締役たちは、35年間同チェーンを支えた取締役会長兼CEOのステインハーフェル(Steinhafel)氏を辞任させました。

ウーバー社、14,800万ドルを支払って和解

3年前に起きたウーバー(Uber)社のデータセキュリティ侵害事件が、2018年9月に同社がアメリカ国内50州で1億4,800万ドルの和解金を支払うことに同意したことにより、再び世間の注目を浴びました。

2016年に5,000万人の利用者およびドライバー700万人の情報が漏れたこの事件は、当初ウーバー社により隠蔽され、1年もの間、報告が行われませんでした。ユーザー同士による配車サービスを行う株式非公開企業ウーバー社の当時のCEOトラビス・カラニック(Travis Kalanick)氏と最高幹部は、ハッカーに10万ドル支払う決定を下し、証拠を隠滅してデータ漏えいをなかったことにしました。

データ漏えいがあった事実が発覚したのは、2017年11月、新たなCEOであるダラ・コスロシャヒ(Dara Khosrowshahi)氏がこの巨大企業の舵を取るようになり、情報漏えいの内部調査を始めてからのことでした。調査の結果、コスロシャヒ氏は最高セキュリティ責任者のジョー・サリバン氏と、サリバン直属の上席弁護士クレイグ・クラーク氏の二人を解雇しました。

ウーバー社による調査の結果、顧客やドライバーのデータがハッカーに悪用された事実はないことが判明しています。

ソニーのハッキング事件は新たな脅威の前触れ

2014年12月、ソニー・ピクチャーズ・エンタテインメント(SPE)社は、サイバー犯罪者が従業員の個人情報、当時のCEOエイミー・パスカル氏からの個人的なメール、公開予定の映画数本の情報を流出させたことを発表しました。この攻撃によりソニーの重要なシステムが遮断され、2か月間回復されませんでした。

「SPEのほとんどの財務および会計アプリケーション、その他多くの基幹ITアプリケーションが使えなくなる」と、ソニーは報告していました。理由は、情報漏えいによって深刻な「規模の破壊と障害」が発生し、同社が「時期尚早に再開させて被害を拡大することを避けたい」と判断したためでした。

風評被害のほうが財政被害よりも大きなものでしたが、それでも被害総額は莫大でした。保険を考慮に入れても、ハッキングによりソニーは1,500万ドルの損失を被ったのです。

辞任を避けるために

企業への脅威が急速に進化しマルチレイヤー化する今、どの企業もいつ標的にされるかわかりません。事実、たとえばランサムウェア攻撃では2019年には14秒に1社が狙われると予測されています。次にマスコミに注目されるのはみなさんかもしれないのです。

データ保護とサイバーセキュリティをビジネスで最優先させることに積極的関心を示し、サイバー業界のリーダーとしての評判を築いておくこと。これが、経営幹部レベルのリーダーがデータ消失インシデント後にも職を追われないようにするための最善策です。

まずは、社内のIT担当者にいくつか質問をして、ベストプラクティスの順守を確実にしましょう。最も強力な暗号化を使って企業と顧客データのプライバシーを守っているか?