非常に長い間に渡り、企業の経営層はサイバーセキュリティをリスクおよび脅威マネジメントの狭い視野でのみとらえてきました。最新のツール、人員、攻撃者を寄せ付けないための管理方法など、何を付け加えるべきかに焦点が当てられていました。しかし、こうした点も必要ではある一方、このマインドセットによってサイバーセキュリティに関する努力が実際の戦略的な事業価値に結び付くことはありませんでした。
セキュリティチームは、新たなタイプのマルウェアや攻撃それぞれに対処するために、戦略的に受動的なアプローチをとることが多くなっています。最新のAIシステムや先進的なファイアウォールの無数の強固な対策の中で、迷ってしまいます。「組織の掲げる最も大切なゴールの達成のために、こうした努力が一体どう役に立っているのだろう?」と立ち止まって考えることはほとんどありません。
この根本的なことを考えもしないことが、セキュリティチームが時にリソース要求を認めさせたり、長期戦略的着眼点を保ったり、または重役会で影響力のある地位をただ 楽しんだりすることが難しい理由です。サイバーセキュリティの持つ戦略的な事業上の役割をさらに高めるには、事業における優先的な目標と合致しこれを実現することになる前向きな成果を定義し、これを達成することへとセキュリティ部門のリーダーらが根本的着眼点を移さなければなりません。
成果とは、効果的なセキュリティをもたらす具体的な結果を意味し、これには次のものが挙げられます:
攻撃に起因する財務的影響の低減
より迅速な検出および発生していることへの対応
顧客の信頼およびロイヤルティの高まり
ダウンタイムを避けることによるより生産性の向上
対照的に、「インプット」とは、組織を安全に保つためのツール、テクノロジー、研修、人員などへの投資です。インプットは、非常に重要な構成要素です。一方、成果はこれらの投資から実際に得られるものとなります。
インプットと成果の関係を、車の運転で例 えてみましょう。先進的なエアバッグ、ブレーキ、カーナビなどは、価値あるインプットと言えます。しかし、どこへ向かっているのか、つまり目的地が定まっていなければ、これらの機能はそれほどの価値をもたらしません。セキュリティチームは、組織をどこに導くのかについて明確に理解する必要があります。成果こそが、その方向性を決めるのです。
戦略的サイバーセキュリティを定義するに当たり、最も効果的なアプローチは「成果からたどる」方法です。このテクニックでは、最終目標を描けば、そこにたどり着くまでに順にたどるべき道順が決まります。
例えば、サイバーインシデントで事業が被る打撃を最小限に抑えている1年後を想像してみます。この目標が達成されたことを示す計測可能な成果は、どのようなものでしょうか。次のものが挙げられるでしょう:
インシデントへの対応時間が平均20%向上
四半期のうちでサイバー攻撃によるダウンタイムが2時間未満である
ランサムウェア関連の金銭的損失がゼロ
上記が定まれば、ここから逆向きにたどることで 、この成果を実現するために必要な能力とリソースを把握できます。応答時間とダウンタイムを減らすのに必要なツールまたはスキルは何でしょうか?ランサムウェアによる金銭的損失を排除できるアクセス制御とバックアップは何でしょうか?
結果からたどるアプローチで、明確さと着眼点が得られます。受動的な戦術ではなく、事業における目的地を描くことから始めるのです。
サイバーセキュリティ投資の承認を得るに当たり一般的な障害となるのが、事業にとって大切なこととの関連性です。セキュリティ責任者は、得られる成果を直接組織のゴールと目標に結び付けなければなりません。
例えば、新規市場への急速な展開およびスピード感ある製品開発がトップレベルで掲げるゴールであれば、このために必要な成果とは次のようになり得ます:
新規市場でのセキュアなオンラインプラットフォーム立ち上げ期間を9カ月とする
セキュリティ関連の問題による製品リリースサイクルでの遅延を30%削減する
これにより、セキュリティへの取り組みは、障害物ではなくイネーブラー(実現要因)として位置づけられることになります。重 要な成果を支える、または促進させる能力に対するリソースの支出は、はるかに正当化されやすくなります。
成果は、指標およびKPIにより定量化できることも必要です。「リスクを削減する」とするのではなく、「会計年度内に全体的なサイバーリスクスコアを78から68へと下げる」のように定義します。これにより、進捗が実質的に計測できるようになります。
技術面、財務面、事業上の要因に渡って広がる指標を用いることが理想的になります:
技術面:脅威の検出の迅速化、ソフトウェアの脆弱性の低減
財務面:侵害やインシデントによるコストの削減
事業面:顧客からの信頼とアップタイムによる収益の向上
メリットの実現化分析を行うことで、生産性の改善、ブランドの評判、コンプライアンスなどの分野における良い面をさらに定量化できます。