サイバーセキュリティを戦略的ビジネス価値につなげる
非常に長い間に渡り、企業の経営層はサイバーセキュリティをリスクおよび脅威マネジメントの狭い視野でのみとらえてきました。最新のツール、人員、攻撃者を寄せ付けないための管理方法など、何を付け加えるべきかに焦点が当てられていました。しかし、こうした点も必要ではある一方、このマインドセットによってサイバーセキュリティに関する努力が実際の戦略的な事業価値に結び付くことはありませんでした。
セキュリティチームは、新たなタイプのマルウェアや攻撃それぞれに対処するために、戦略的に受動的なアプローチをとることが多くなっています。最新のAIシステムや先進的なファイアウォールの無数の強固な対策の中で、迷ってしまいます。「組織の掲げる最も大切なゴールの達成のために、こうした努力が一体どう役に立っているのだろう?」と立ち止まって考えることはほとんどありません。
この根本的なことを考えもしないことが、セキュリティチームが時にリソース要求を認めさせたり、長期戦略的着眼点を保ったり、または重役会で影響力のある地位をただ��楽しんだりすることが難しい理由です。サイバーセキュリティの持つ戦略的な事業上の役割をさらに高めるには、事業における優先的な目標と合致しこれを実現することになる前向きな成果を定義し、これを達成することへとセキュリティ部門のリーダーらが根本的着眼点を移さなければなりません。
成果対インプット:核となるマインドセットの移行
成果とは、効果的なセキュリティをもたらす具体的な結果を意味し、これには次のものが挙げられます:
攻撃に起因する財務的影響の低減
より迅速な検出および発生していることへの対応
顧客の信頼およびロイヤルティの高まり
ダウンタイムを避けることによるより生産性の向上
対照的に、「インプット」とは、組織を安全に保つためのツール、テクノロジー、研修、人員などへの投資です。インプットは、非常に重要な構成要素です。一方、成果はこれらの投資から実際に得られるものとなります。
インプットと成果の関係を、車の運転で例�えてみましょう。先進的なエアバッグ、ブレーキ、カーナビなどは、価値あるインプットと言えます。しかし、どこへ向かっているのか、つまり目的地が定まっていなければ、これらの機能はそれほどの価値をもたらしません。セキュリティチームは、組織をどこに導くのかについて明確に理解する必要があります。成果こそが、その方向性を決めるのです。
結果からたどることで成果を定義
戦略的サイバーセキュリティを定義するに当たり、最も効果的なアプローチは「成果からたどる」方法です。このテクニックでは、最終目標を描けば、そこにたどり着くまでに順にたどるべき道順が決まります。
例えば、サイバーインシデントで事業が被る打撃を最小限に抑えている1年後を想像してみます。この目標が達成されたことを示す計測可能な成果は、どのようなものでしょうか。次のものが挙げられるでしょう:
インシデントへの対応時間が平均20%向上
四半期のうちでサイバー攻撃によるダウンタイムが2時間未満である
ランサムウェア関連の金銭的損失がゼロ
上記が定まれば、ここから逆向きにたどることで�、この成果を実現するために必要な能力とリソースを把握できます。応答時間とダウンタイムを減らすのに必要なツールまたはスキルは何でしょうか?ランサムウェアによる金銭的損失を排除できるアクセス制御とバックアップは何でしょうか?
結果からたどるアプローチで、明確さと着眼点が得られます。受動的な戦術ではなく、事業における目的地を描くことから始めるのです。
事業の目標と成果を一致させる
サイバーセキュリティ投資の承認を得るに当たり一般的な障害となるのが、事業にとって大切なこととの関連性です。セキュリティ責任者は、得られる成果を直接組織のゴールと目標に結び付けなければなりません。
例えば、新規市場への急速な展開およびスピード感ある製品開発がトップレベルで掲げるゴールであれば、このために必要な成果とは次のようになり得ます:
新規市場でのセキュアなオンラインプラットフォーム立ち上げ期間を9カ月とする
セキュリティ関連の問題による製品リリースサイクルでの遅延を30%削減する
これにより、セキュリティへの取り組みは、障害物ではなくイネーブラー(実現要因)として位置づけられることになります。重�要な成果を支える、または促進させる能力に対するリソースの支出は、はるかに正当化されやすくなります。
成果の計測と定量化
成果は、指標およびKPIにより定量化できることも必要です。「リスクを削減する」とするのではなく、「会計年度内に全体的なサイバーリスクスコアを78から68へと下げる」のように定義します。これにより、進捗が実質的に計測できるようになります。
技術面、財務面、事業上の要因に渡って広がる指標を用いることが理想的になります:
技術面:脅威の検出の迅速化、ソフトウェアの脆弱性の低減
財務面:侵害やインシデントによるコストの削減
事業面:顧客からの信頼とアップタイムによる収益の向上
メリットの実現化分析を行うことで、生産性の改善、ブランドの評判、コンプライアンスなどの分野における良い面をさらに定量化できます。
戦略を実行に移す
明確な成果を1つ定義できて初めて、実際の取り組みが始まることになります。まず、成果を実現するために、適切な人材、ツール、テクノロジーを選定します。これには、セキュリティ戦略と実動の間の密接な連携が必要になります。
AIやオートメーションなどの新技術は大いに役立つ可能性があるものの、応答時間の迅速化であれ侵害数の低減であれ、特定の成果に明確に集中していればこそのものとなります。明確な集中がなければ、最先端ツールでさえ、使いこなせずただ予算をむしばむだけの存在となります。
話題の新登場したサイバー技術の能力を購入することではなく、むしろ障壁となっているツールの合理化または撤去が最善手となる場合もあります。重複したサービスを提供するベンダーを統一し、単一のプラットフォームに移行することで、予算が削減でき、さらに統合およびメンテナンスに浪費してきた帯域幅も解放される可能性があります。
指標に基づき継続的に進捗を追跡することで、アプローチと投資をさらに洗練させる重要なフィードバックが得られます。特定の能力が優先度の高い成果へと近づくものでなければ、再考または配備し直しが必要となります。こうした測定により、俊敏性があり、かつ進化するセキュリティ戦略が生まれます。
既に定義してある、事業にとって価値をもたらす最終目標の現実化に集中し続けます。北極星のようにゆるぎない目標が判断を導くことで、セキュリティ責任者は自信をもって曲がりくねった道をも進んでいくことができます。
サイバーセキュリティの持つ戦略的な事業へのインパクトを高める
サイバーセキュリティの注力を、インプットの獲得より成果の実現へとむけることは、その戦略的択割を高めるに当たり決定的に重要です。事業の経営層は、組織が掲げるミッションのためになる具体的結果に責任を持てるセキュリティチームを必要としています。
前向きな事業へのインパクトに対するこの外向きな着眼は、IT、財務、マーケティング、法務、その他部署に渡って非常に重要な社内の協力関係を築くことにもつながります。これにより、全社に渡り目的意識を高めるセキュリティ関連の成果を推し進める協調関係が醸成されます。
最後に、成果に集中することで、混乱に陥った時でさえも明確さが得られます。新たな脅威は次々と出現し、投資にはリスクが伴います。こうした、事業のニーズに根差した明確に定義された目的地があれば、セキュリティ責任者は自信をもって以降進むべき道を歩めるのです。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについ��てお伝えするシリーズの一環です。
著者
John Engates — @jengates
Cloudflare社テクノロジー・オフィサー
記事の要点
この記事を読めば、以下が理解できます。
サイバーセキュリティにおける成果とインプットの違い
セキュリティの役割をリスク管理からビジネス価値の戦略的推進力へとシフトする必要性