Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバーセキュリティとビジネスの整合 : 簡単にできることではないけれど...

何がいけない? ビジネスとサイバーセキュリティがつながっていない! 何かいいことは? 整合すれば見違えるような結果が得られます。

CISO、CSO などの役職でサイバーセキュリティ部門を管轄していると、「うちのセキュリティは大丈夫?」と会社の最高執行責任者や役員が比較的頻繁に問いかけてきます。そう簡単に答えられる質問ではありませんね。

企業リスクが急速にシフトしつつあるこの時に、感染症のパンデミック、経済情勢の悪化、リモートワークなどが次々と表れ、世界各地で蔓延しているサイバーアタックや脅威がリスクを増幅させるばかりでなく、サイバーセキュリティを役員会で最も注目される議題に押し上げています。それでありながら、前線に立つ我々は、山のような課題の対応に日々追われ、会社のサイバーセキュリティの状況を事業幹部に明確に伝えることは困難な状況です。

主要課題をいくつか洗い出してセキュリティリーダーがビジネス側のリーダーと意味のある対話を開始できるように、Tenable は Forrester Consulting にセキュリティ責任者 416 名、ビジネス責任者 425 名を対象としたオンライン調査と、その結果をもとにした中規模から大規模の企業のサイバーセキュリティ戦略と実践の分析を依頼しました。「ビジネス整合的なセキュリティ責任者の台頭」がその報告書です。事業の期待とセキュリティリーダーが直面する現実の不一致が浮き彫りにされています。しかし、同時に、今日のデジタル企業にとって唯一最大の機会に恵まれていることも明らかになりました。それは、CISO の役職を他の執行責任者の役職と同等の地位に引き上げるチャンスです。

将来を担うのはビジネス整合的なセキュリティリーダー

この調査で明らかになったテーマは次の4項目です。

  • サイバーセキュリティの脅威は、先行きが不安な世の中で猛威を振るうので重要性を増し、取締役会でも討議の対象になります。ほとんどの企業 (94%) が過去 12 か月間に少なくとも 1 件のサイバーアタックを経験し、ビジネスが何らかの支障または悪影響1を受けています。そのおよそ 3 分の 2 (65%) はオペレーショナルテクノロジー (OT) 資産に関する攻撃であったと報告されています。

  • ビジネスリーダーは、自社のサイバーセキュリティ状況を明確に捉えたいのですが、セキュリティリーダーは即答できず、苦戦しています。「会社のセキュリティとリスク度は大丈夫 ?」と投げかけられて自信を持って答えられるセキュリティ責任者は 10 人中 4 人しかいません。

  • 事業のサイバーリスクの理解と管理の間に隔たりがあります。特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。ビジネス部門のステークホルダーと討議して、事業のニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。セキュリティ部門のパーフォーマンスデータをビジネス部門のステークホルダーと定期的にリビューすると回答したセキュリティリーダーは 10 人に 4 人 (43%) でした。

  • サイバーセキュリティは、ビジネスリスク戦略として進化しなければなりません。これはセキュリティリーダーがアタックサーフェスの全貌を可視化できるようになって初めて達成できることです。セキュリティリーダーの半数以上が、セキュリティ部門は自社のアタックサーフェス全体を包括的に理解して評価していると答えていますが、コンテキストを踏まえた脅威メトリクスを使ってサイバーリスクを測定していると回答しているのは半数未満です。つまり、ビジネスに与えるリスクの重大度と脅威のコンテキストは、企業のサイバーリスク分析、優先順位付け、修正実行の能力にまだまだ十分に反映されていないことを表しています。

合意されたビジネスリスクデータを使って、セキュリティリーダーとビジネスリーダーの認識が一致していると、結果に明らかに大幅な改善がみられることをこの調査は示しています。ビジネス整合的なセキュリティ責任者は、サイロ思考型の責任者と比べると 8 倍、自社のリスクレベルを説明できることに自信があるようです。特に、現在の経済情勢で世界的な経済活動の低下に見舞われ、企業が経費を見直しているこの状況でも、ビジネス整合的なセキュリティ責任者の 85% はサイバーセキュリティの ROI を追跡して事業成果への影響を測定しているのに比べて、サイロ思考型の同僚の場合、その割合はたったの 25%、ということが注目されます。

Sentara Healthcare の CISO Dan Bowden 氏が去年、Tenable のインタビューでこのように語っています。「現在の状況で企業のリスク管理に社会の注目が高まっており、あらゆる企業のあらゆるリーダーシップチームと取締役会が、問題修復のストーリーに関わりたいと考えています。セキュリティチームがエクスポージャーについて、本当に行う必要のあることは何かを示す、しっかりしたデータを提供すれば、彼らはそれを理解し、データの意味を把握できます。彼らは、セキュリティチームのストーリーの一部となって、問題解決とリスク管理の改善をサポートしたいと考えています」

ビジネスとセキュリティの整合性を達成するのに CISO とその他のセキュリティ、リスク部門のリーダーが必要とするのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。例えば、ビジネス整合的な企業では、一般的にビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命しています (80%) が、整合が進んでいない企業ではその割合は 35% です。また、ビジネス整合的なセキュリティリーダーは、脆弱性評価プロセスの主要部分の自動化の促進で、事後対応する傾向のあるサイロ思考型のリーダーに比べて 49 から 66 パーセントポイント先に進んでいることも、この調査結果が明らかにしています。

1*「ビジネスが悪影響を受ける」とはサイバーアタックまたはセキュリティの侵害によって生じる顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失に関する状況を指します。

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

もっと詳しく

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

旧 Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

旧 Tenable.io Web Application Scanning

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

旧 Tenable.io Web Application Scanning

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加