この論文は、取締役会がサイバーセキュリティへの備えを過大評価し、真のリスク管理やレジリエンス確保が不十分なまま重大被害を招く危険性を指摘し、「スチュワードシップ(受託責任)」視点での行動を求めている。
サイバーリスクは避けられないが、スチュワードシップを持つ取締役会は被害を最小化できる。サイバーセキュリティを単なるコンプライアンスではなく持続的な競争優位の柱へ昇格させるべきであり、健全なスチュワードシップがデジタル時代の持続可能な成長と組織の未来を確かなものにする。
1. 取締役会の現状と問題
- 多くの取締役は自社のサイバー対策や自分たちの指導力を過大評価。
- 実際には「先駆者・早期導入者」としての対応をしている企業は少数。
- 多くの取締役が「戦略アドバイザー」視点に偏り、長期安定性確保のスチュワード意識が不足。
2. サイバーセキュリティを巡る3つの誤り
- 何もしないことの影響を過小評価
- 予算不足や対策先送りのリスクを軽視。
- 実例:多要素認証未導入での大規模情報流出(Change Healthcare)、IT点検中の攻撃で操業停止(Clorox)。
- 技術的負債の蓄積
- 老朽化インフラ、期限切れソフト、アップデート未実施などが脆弱性の温床。
- 実例:古い医療施設システムが攻撃で停止(Tenet Healthcare)、クラウド経由の広範囲データ侵害(Snowflake関連事件)。
- 悪い知らせを改善の機会として活かさない
- 問題やニアミスの報告がためらわれ、リスクが表面化しない。
- 実例:取締役会への報告前に情報流出が発覚(First American Financial)。
3. より良いスチュワードになるための5ステップ
- スチュワードシップを意思決定の中心に据える
- 「何もしない」ことの影響を幅広く評価させる
- 頻繁なデューディリジェンスで技術的負債を把握・軽減
- 投資をコストではなく戦略的優位として捉える
- サイバー情報更新を学習と文化醸成の機会にする
詳細は下記参照。定期購読登録が必要です。
“Boards Need a More Active Approach to Cybersecurity,” HBR.org, May 20, 2025.