[論文レビュー] Cyber Crossroads: A Global Research Collaborative on Cyber Risk Governance
本論文は、医療分野の標準的ケアにインspiredした、世界的に適用可能な非営利のサイバー規範基準—サイバーリスク管理のガバナンスフレームワーク—を提唱する。56のグローバル組織、規制当局、保険会社、専門家らの知見を統合し、技術的チェックリストを越えて、業界や組織の規模を問わず一貫性があり、防御可能なサイバーリスク監視を可能にする実用的で実装可能な、取締役レベルのガバナンスフレームワークを構築した。
Spending on cybersecurity products and services is expected to top 123 billion U.S. dollars for 2020, more than double the 55 billion U.S. dollars spent in 2011.1 In that same period, cyber breaches quadrupled. Organizations globally face increasing liabilities, while boards of directors grapple with a seemingly Sisyphean challenge. Cyber Crossroads was born out of these alarming trends and a realization that the world cannot go on funneling finite resources into an indefinite, intractable problem. Cyber Crossroads brings together expertise from across the world, spanning aspects of the cyber problem (including technology, legal, risk, and economic) with the goal of creating a Cyber Standard of Care built through a global, not-for-profit research collaborative with no commercial interests. A Cyber Standard of Care should be applicable across industries and regardless of the organization size. It should be practical and implementable, with no requirement to purchase any product/service. Cyber Standard of Care should be woven into the existing governance fabric of the organization and it should not be yet another technical checklist, but a process/governance framework that can stand over time. To achieve this, we engaged with cyber risk experts and practitioners with a variety of relevant expertise, secured the advice/guidance of regulators and legal experts across jurisdictions, and interviewed leaders from 56 organizations globally to understand their challenges and identify best practices.
研究の動機と目的
- サイバー攻撃とサイバーセキュリティ支出の増加に比して、サイバーリスクガバナンスのギャップが拡大している現状に対処すること。
- 業界や組織の規模を問わず普遍的に適用可能で、技術的でなく、非営利のサイバーリスク管理のガバナンスフレームワークを確立すること。
- 取締役および執行責任者らがサイバーリスク監視における法的義務を果たすために明確で防御可能な基準を提供すること。
- 合理的なサイバーリスク管理行動のベンチマークを設けることで、法的および評判上の責任を軽減すること。
- サイバーセキュリティ専門家、法務担当者、保険会社、企業リーダーらが連携し、持続可能で根拠に基づいたフレームワークを共同で開発することを促進すること。
提案手法
- 56のグローバル組織の上級幹部を対象にインタビューを行い、サイバーリスクガバナンスにおける課題、ギャップ、ベストプラクティスを特定した。
- 各国の規制当局、法務専門家、サイバーリスク実務家らと連携し、法的・規制的整合性を確保した。
- 医療分野の標準的ケアから構造的・概念的インスピレーションを得ており、責任の所在、一貫性、防御可能性を重視している。
- NIST CSF、ISO/IEC 27001、COBIT 2019、CISコントロール、PCI DSSといった主要な既存フレームワークの知見を統合し、共通のガバナンス原則を同定した。
- 新たな技術的チェックリストを導入する代わりに、既存の組織構造と統合可能な、ガバナンス中心のフレームワークを設計した。
- 主要なリスクおよび保険会社からの資金提供を獲得したが、スポンサーの影響を排除することで研究の整合性を維持した。
実験結果
リサーチクエスチョン
- RQ1どのような基準が、業界や組織の規模を問わず、防御可能で世界的に適用可能なサイバーリスクガバナンスの基準となるか?
- RQ2サイバーリスクガバナンスを技術的コンプライアンスから取締役レベルの法的義務に引き上げるにはどうすればよいか?
- RQ3専門家、保険会社、規制当局、企業リーダーらが分野横断的に連携することで、信頼性があり非営利の基準をどのように開発できるか?
- RQ4ガバナンスフレームワークがサイバーインシデント後の法的責任および評判的損害をどのように軽減できるか?
- RQ5既存のサイバーセキュリティフレームワークをどのように統合し、統一的で実用的かつ持続可能なガバナンスモデルにできるか?
主な発見
- 現在のサイバーリスク管理手法が、増加するサイバー脅威とそれに比して遅れていることから、サイバー規範基準の導入が急務である。
- 2020年に予想される1230億ドルの投資にもかかわらず、2011年以降にサイバー侵害が4倍に増加しており、これは包括的でないガバナンスのギャップを示している。
- NIST CSF、ISO/IEC 27001、COBIT 2019、CISコントロールといった既存フレームワークは価値あるものだが、取締役レベルの責任を果たすための単独のガバナンスツールとしては不十分である。
- 公式な基準が存在しないことで、協調的でない監視があるため、ベストプラクティスを実施していても、組織は法的措置の対象になり得る。
- 提案されたサイバー規範基準は技術的チェックリストではなく、組織構造と統合可能で、長期的かつ防御可能な意思決定を支援するガバナンスフレームワークである。
- このフレームワークは実用的で、製品の購入を必要とせず、組織の規模や業界分野を問わず適用可能である。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。