Tenable ブログ
ブログ通知を受信するビジネス整合的なサイバーセキュリティリーダーになるための 5 つのステップ
合意済みのコンテキストデータを中心としてセキュリティ部門とビジネス部門の認識が一致していれば、確かな成果が得られることが、独立機関によるビジネスリスクの調査で示されています。ビジネスと整合性を図る方法をご紹介します。
皆さん、現代のサイバーセキュリティは壊れています。セキュリティリーダーはデータの海に呑まれて溺れています。脆弱性の数なら、簡単に数えることができます。パッチの適用数も報告できます。最も最近発生した脅威について、詳細にわたって説明することもできます。これだけの情報が手元にあるのに、我々の多くは依然としてこの質問「会社のセキュリティとリスク度は大丈夫 ?」に高度の確信を持って明確に答えることができません。
これはなぜでしょうか?重要な鍵となる情報である、ビジネスコンテキストが欠けているからです。
企業のセキュリティレベルやリスクレベルを計算する典型的な方程式は、資産、セキュリティコントロール、脅威、脆弱性の関数によって構成されています。そこにビジネスコンテキストが欠けていると、どの資産がビジネスの中核的な価値提案にとって最も重要か、またそれらの重要資産の各々にどのセキュリティ制御が適用されているのかが理解できず、その結果得られるセキュリティリスクの計算結果は、寛容な見方をしても、不完全なものになってしまいます。
サイロ化された状態で業務を行っていては、セキュリティリーダーはビジネスコンテキストを把握できません。多くの企業に欠落している、ビジネスとサイバーセキュリティの各々の責任者の間のある程度の戦略的な連携が必要です。実際、Tenable が委託して実行された Forrester Consulting による調査の結果では、ビジネスとセキュリティの間には著しい隔たりがあります。416 名のセキュリティ責任者と 425 名人のビジネス責任者を対象に実施されたこの調査によると、前者の 54% と後者の 42% のみが、各々のサイバーセキュリティ戦略が事業目標と完全に、もしくは密接に整合されていると回答しています。調査に応じたセキュリティリーダーのうち、サイバーセキュリティ戦略の策定にあたってビジネスリーダーと積極的に話し合うのは全体の半数以下 (47%) です。しかも、事業責任者も 10 人中 4 人が、事業戦略の策定の段階でほとんど、または全くセキュリティリーダーと相談していません。
「最も難しいのは、サイバーセキュリティリスクに対して経営陣に興味と当事者意識を持ってもらうことかもしれません」と LafargeHolcim IT EMEA (マドリード) で IT セキュリティおよび内部統制部門責任者を務める Jose Maria Labernia Salvador 氏は Tenable のインタビューでこう語っています。「サイバーセキュリティは IT との関わりが深いビジネス関連トピックです。IT はサイバーセキュリティをサポートしたり指導したりできますが、そのバランスの核となるのはビジネス部門のステークホルダーと経営幹部です」
Forrester の調査結果から、ビジネスとセキュリティが整合していれば、確かな成果が得られることが示されています。例えば、ビジネス整合的なセキュリティリーダーの特徴として次の項目が挙げられます。
- セキュリティとリスクに関する報告の準備ができている。ビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。
- 自社のセキュリティ戦略の ROI を報告する準備ができている。ビジネス整合的なセキュリティリーダーの大部分 (85%) が、サイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定するメトリクスを使っているのに対して、事後対応型でサイロ思考型のリーダーの場合はわずか 25% です。
- 定められたベンチマーキングプロセスを備えている。ビジネス整合的なセキュリティリーダーの 10 人中 9 人近く (86%) が、競合企業または内部のグループと関連付けされたプロセスの継続的改善を実行し、期待される内容を明確に表現しています。整合的でないリーダーで同様の回答ができたのは、わずか 32% です。
だからといって、ビジネスとの整合を実現する責任が、セキュリティリーダーの肩のしかかると言っているわけではありません。一部の企業では、文化的にサイロ化しやすい傾向があります。そうした企業の場合は、どれだけ努力してもビジネスリーダーとの整合には常に苦労が伴うかもしれません。
自社が整合性のどの段階に位置しているか分からない場合、それを見分ける簡単な方法があります。会社に「ビジネス情報セキュリティオフィサー (BISO)」のような肩書の役員がいる場合は、整合度が成熟した側に位置しています。Forrester の調査によると、ビジネス整合的な企業の大部分 (80%) では、ビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命していますが、整合が進んでいない企業ではその割合は 35% です。
ビジネス整合的なサイバーセキュリティリーダーになる方法
幸運にも、既にビジネスとサイバーセキュリティの整合度が相対的に成熟している企業に従事しているのであれば、相当の努力は必要になるにせよ、ビジネス整合的なセキュリティリーダーになる道は比較的明瞭でしょう。しかし、整合の成熟度合いが低い企業の場合、その道のりは非常に困難なものになります。どの状況にも当てはまる万能なアプローチはないので、次のように、整合性の成熟度に応じて、3 つの選択肢に沿ったガイドラインを用意しました。どれか 1 つが、皆さんがサイバーセキュリティの取り組みを始める助けになれば幸いです。
企業の成熟度に応じた、ビジネスステークホルダーとの整合度を向上させる 5 つのステップ
ステップ | 低い整合度 | 中程度の整合度 | 高い整合度 |
ステップ 1 :自社の年間事業目標を理解していることを確認します。 | セキュリティリーダーはおそらく、業績見通しや財務諸表などの一般公開文書を頼りにしながら独自の調査を行い、組織の優先順位についてのだいたい明確な全体像を描く必要があります。 | 事業目標の理解には、副社長レベルのリーダーへの電話連絡や全社会議への参加、そしてビジネス部門の同僚と方向性をすり合わせる別の方法を探す必要があるかもしれません。 | 幹部職員によって開催される週次ミーティングにすでに参加しており、定期的に取締役会での報告を求められています。もしくはその立場を目指して取り組む必要があります。そうした機会を利用して、重要な事業目標について聞くことができます。 |
ステップ 2 :事業目標によって、技術上の意思決定がどう方向づけられるかを検討します。 | 最も重要なシステムと資産の全容を把握するために、会社の各部門の同僚との関係に頼る必要があるかもしれません。特に、サービス停止やインシデントに注意を払い、重要性が認識された領域を見つけ出します。 | 最も重要なシステムについて把握するために副社長や他の部門のリーダーとの電話を介して情報収集を行う必要があるかもしれません。 | 主要なビジネス部門の役員を対象に調査してビジネスインパクト分析を行い、会社の日々の運営において最も重要なシステムを明確に理解することができます。 |
ステップ 3 :ビジネス部門のステークホルダーと連携して、自社のサイバーセキュリティメトリクスにビジネスコンテキストを確実に盛り込みます。 | 業界のイベントやケーススタディ、ネットワーキンググループなどの外部ソースを利用して、共通のビジネスニーズや重要なセキュリティメトリクスに対する俯瞰的な見方を身に付け、そのような知識をもとに、どれが自社で使えるのかを予測する必要があるかもしれません。 | ビジネスコンテキストの定義を支援できる上級役員と話す機会がない可能性があります。どのメトリクスが自社の状況に最も合致するかを理解するのに役立てるために、取締役や各事業部門のリーダーとの関係を構築したり、同じ同業者に相談したりする必要があるでしょう。 | このステップは、自分の会社にとって最も意味のある少数のメトリクスを特定するためですが、同時に、どのような質問をすれば必要な情報を得られるかということでもあります。 |
ステップ 4 :上記のステップで得た知識に基づいて、サイバーセキュリティ作業に優先順位付けをします。 | 資産重要度のデータが欠けているといった、プロセスに存在するギャップを評価するところから始め、今後どのようにギャップを埋めていくかを示すロードマップを策定します。 | 資産重要度のデータと脅威や脆弱性のデータの統合を開始し、リスクベースよりのアプローチへと移行できます。 | 自動化の利用と、予測型アプローチを使用した脅威および脆弱性の優先順位付けプラクティスにビジネスリスク管理目標を適用します。 |
ステップ 5 :理に適ったベンチマーキングを利用して、ビジネス部門のステークホルダーとコミュニケーションを取ります。 | ビジネスのことを良く理解した言語スキルを身に付けるため、外部のアドバイザーとの連携を検討します。この段階で、セキュリティリーダーは、おそらくリスクだけでなくビジネス自体の評価実績で、ビジネスリーダーからより高い評価を得られるでしょう。 | 自分の観察力を頼りにする必要があるかもしれません。ビジネス部門のリーダーが使う言葉に注意を払い、それに合わせて自分のコミュニケーションを調整しましょう。 | 整合度の高い企業であっても、既存の枠組みの視点にとらわれることと、主要リスク指標に関する業界の合意がないことにより、このステップの実施が難しい場合があります。それでも、既に高いレベルの組織的な整合が実現できていれば、経営幹部はおそらく、セキュリティリーダーのレポートから何を知る必要があるのか、レポートで省略できるのは何か、などと率直な会話ができることを喜んでくれるでしょう。 |
出典 : Tenable、2020 年 9 月
会社の整合性成熟度にかかわらず、Oak Ridge National Laboratory (テネシー州オークリッジ) で CISO を務める Kevin Kerr 氏のアドバイスに従うといいでしょう。Tenable のインタビューで Kerr 氏は次のようにアドバイスしています。 「新人 CISO は机から離れて社内を歩き回り、他の人たちと話をし、平社員から会社のトップに至るあらゆる段階の人たちの問題や目標を知り、状況を把握してください。会社の IT 関係者の話だけを聞くのはよしてください。彼らは IT の観点からの先入観があるので。現場へ行き、現場を見て、会社の状況をビジネス的観点で把握し、みんなの話を聞いてください」もちろん、今は COVID-19 が流行していますから、そうした現場の調査をバーチャルで行わなければならない場合もあるでしょう。それでも、直接人と会うか Zoom を使うかにかかわらず、その努力は会社の利益となり、皆さんのキャリアの収穫にもなります。「CISO の存在が周知できます」と Kerr 氏。「皆さんが会社のことも考えつつ他の人たちの課題解決を手助けできることを理解してもらえれば、その人たちの仕事に関わることも歓迎されるようになります。私は絶対に、『改革反対派』にはなりたくありません」
ビジネス整合的なサイバーセキュリティリーダーになるのはマラソンのようなもので、短距離走ではありません。技術と同じようにビジネスについても滑らかに話す方法を身に付ける必要があります。しかし、Forrester の調査結果が指摘しているように、「最新のセキュリティ上の脅威には新しいアプローチが必要」です。サイバーセキュリティをビジネスリスクとして扱う準備ができたセキュリティリーダーこそが、将来を担うのです。
ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法
このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。
もっと詳しく
- その他の注目すべき調査結果はこちらから
- 報告書全文「ビジネス整合的なセキュリティ責任者の台頭」のダウンロードはこちらから
- ブログを読む
- ホワイトペーパー「ビジネス整合的なセキュリティリーダーの素質は ?」のダウンロードはこちらから
- e ブック「ビジネス整合的なセキュリティリーダーになる方法」はこちらから。是非ご一読ください。
- Cyber Exposure ポッドキャストシリーズ「Tenable CSO Bob Huber インタビュー」もお聞きください。
- 「ビジネス整合的なセキュリティ責任者の台頭」ウェビナーを視聴する
関連記事
- Vulnerability Management