近年、サイバーセキュリティの重要性は高まりを見せてるものの、企業の優先事項として完全に定着しているとは言えません。
確かに多くのCISOはCEOに直接報告し、リスクやコンプライアンスについて取締役会で協議するよう求められます。ですが未だに、セキュリティチームの半数以上が資金不足を訴えており、リスク軽減に欠かせない投資ができないでいると答えています。多くの組織はセキュリティチームを「金食い虫」であり、組織の予算縮小を余儀なくされたり、財務の見通しが厳しくなった場合、セキュリティ投資は削減対象であるという認識を持っています。
この認識を変えるために、セキュリティリーダーは多くの時間を投資して他部門との関係を構築し、セキュリティ戦略を企業全体の優先事項であるという認識合わせをする必要があります。その際、これまでのセキュリティ投資の投資対効果(ROI)について議論するのが有用です。ROIを測定することで、セキュリティチームがどれほどの価値を既に提供しているかを示し、同様の投資を今後も支持してもらえる可能性を高めることができます。
ROIを測定する際には、データを分析する前に、セキュリティリーダーはまず「どのようなストーリーを伝えたいのか」を明確にする必要があります。どれほど優れた数値や指標であっても、全体的なビジネスの優先事項と結びついていなければ、相手に刺さりません。
ここでは、一般的な3つのデジタル優先事項と、どのような種類のROIの測定値が役立つかについて紹介します。
このような種類の測定の具体的な方法についても、このページで紹介します。
リスクやその軽減を数値化する指標やスコアは数多く存在します。これらのスコアはセキュリティチームにとって有用ですが、他の部門の人々には抽象的すぎて理解してもらえない場合があります。
そのため、セキュリティ強化の効果を説明する際には、企業全体が関心を持つ数値に結びつけると良いでしょう。Webアプリケーションのセキュリティの文脈では、これに該当する数字の1つは、当該Webアプリケーションによって生み出された収益です。セキュリティ強化が収益をどれだけ保護しているかを測定した値は、単なるリスクスコアを示すよりも具体的で分かりやすいものになります。
このような測定を行うためには、以下のデータが必要です:
投資の前後が比較できるWebサイトが攻撃を受けたことで発生したダウンタイム。通常、1年を通じた時間(時間単位)で測定するのが理想的です。短期間では、売上が高まる特定の時期を見落とす可能性があるためです。攻撃の種類(例:DDoS攻撃、悪意のあるボット)ごとにデータを分けて算出するのが適切です。
Webサイトのダウンタイムの時間/日単位のコスト。B2C企業の場合、Webサイトが1時間あたりどれだけの収益を生み出すかについての報告はeコマースチームから聞き出すことができます。B2B企業の場合、1時間または1日あたりのリード数やフォーム送信数、そのリードの平均価値をマーケティングチームから聞き出すことができます。月間や年間の平均値を算出するのが出発点として良いですが、攻撃が特定の時期(ホリデーシーズンなど)に集中している場合は、その期間に絞った平均を算出するとさらに正確です。
これらの数値を使えば、特定の種類の攻撃をより多く防ぐことで、どれだけの収益を保護できたかをしっかりと推定することができます。この測定結果を活用すれば、現行の対策をより拡大することに対して支持を得たり、関連するプロジェクトが実際に意味のある効果をもたらすことを示す材料として使うことができます。
セキュリティ投資の中には、将来 的に起こり得る侵害の防止に重点を置くものなど、収益に直接影響を与えないものもあります。このような場合、セキュリティリーダーはROIを測定する際にバランスを考える必要があります。一方で、独自のリスク指標では理解されにくい場合があります。また、データ漏洩時にかかる平均コストは非常に高額になる可能性があり、いたずらに不安を煽っていると捉えられる可能性もあります。加えて、セキュリティリーダーが「すべての将来の侵害を防ぐ」と約束することは現実的ではありません。
より慎重なアプローチをとるために、セキュリティリーダーは次の指標を活用すると良いでしょう:
指定した期間内にデータ漏洩が発生する可能性。手元にあるデータによっては、実際の企業データだけでなく業界のベンチマークの使用を検討することも有用である場合があります。
データ漏洩時にかかる平均コスト。ここでも、業界のベンチマークを使用することで、この数字の信頼性を高めることができます。
特定の攻撃対象領域や攻撃ベクトルに起因する侵害の割合。
セキュリティ投資によってリスクが軽減された割合。可能な限り広く受け入れられている指標を使用します。例えばWebアプリケーションの場合、セキュリティ投資によってOWASPトップ10のうちどれだけ対処できているか、防止しているかは、投資の有効性を判断してもらうための材料として役立つものになるでしょう。
これらの数値があれば、セキュリティリーダーは漏えいに関連するコスト削減をより詳細に見積もることができ、他部門のリーダーにも抽象的な概念をより具体的に理解してもらうことができます。
セキュリティ投資が組織のリスクプロファイルに直接影響を与えない場合でも、チームの生産性や効率性に与える影響を示すことが重要です。特定の投資を行うことによってセキュリティチームが対処に当たる時間を削減(そのための態勢を整えることができる場合も含む)できれば、そのための初期投資にも同意を得ることができるかもしれません。さらに、これによってチームに余裕が生まれれば、より戦略的な仕事に注力できるようにもなります。
この影響を計算するには、以下のデータが必要です:
セキュリティチームメンバー1人あたりに換算した平均時間給。投資の性質によって、投資の影響を受ける特定のチームメンバーに焦点を当てたものや、チーム全体にどのような影響を及ぼしているかを推定したりすることもできます。
セキュリティ投資によって削減された週/月/年あたりの作業時間。これを算出するには、関連業務(問い合わせ対応、ポリシーの更新、新規ユーザーの作業環境を整える一連の作業など)にかかる平均時間を推測する必要があるかもしれません。人員計画には短期間のデータ、コスト削減全体の観点からは長期間のデータが有効な場合があります。
前述の利点に加えて、これら2つの数値を掛け合わせることで時間削減を具体的な形で示すことができ、セキュリティ担当者の価値を認識していない他部門のリーダーにその必要性を説くことがができます。
そもそもセキュリティサービスの効果は、その効果が実際に発生しない限り測定できません 。そして、残念ながら、多くのセキュリティプラットフォームには、以下のような理由で、効率性や可視性を低下させるような構造的な欠陥があります。
すべてが連携するためには、そのための手作業や追加のサービスが必要
さまざまなサービスごとに存在する複数のUI
異なるインフラ上に存在するさまざまなサービスに対応するため、作業性に問題が生じる
クラウドネイティブのセキュリティサービスとコネクティビティサービスの統合プラットフォームであるCloudflareのコネクティビティクラウドは違います。Cloudflareのコネクティビティクラウドは、効率性、可視性、制御を重視して、以下のようにゼロから設計されています:
構成可能でプログラム可能なアーキテクチャ:すべてのサービスは、ネットワーク内の全サーバーで実行可能で、簡単なサーバーレス機能でカスタマイズ可能です。
グローバルで広範なリーチ:330以上の都市にまたがり、12,500以上のネットワークと相互接続されています。
すべてのサービスを支える機能横断的な脅威インテリジェンス:全Webトラフィックの約20%の処理から収集した膨大なデータを活用。
一つにまとめられた簡素化されたインターフェース:ユーザーはすべてのセキュリティサービスを単一の管理画面で管理できます。
最近のForrester社の調査によると、インタビューしたお客様の代表的な複合企業は、3年間で100万ドル近くの収益を確保し、Webアプリケーションの侵害リスクを25%削減し、238%のROIを達成しました。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Cloudflareのコネクティビテ ィクラウドのROIに関する詳細については、Forrester社の「Cloudflareコネクティビティクラウドの総経済効果」レポートでご確認ください。
この記事では、以下のことがわかるようになります。
さまざまな種類のセキュリティ対策のROIを測定する方法
セキュリティROIを測定することがどのように今後の投資を確保するために役立つか
最高のROIをもたらすセキュリティプラットフォームの種類