サイバーセキュリティとビジネスの整合 : 簡単にできることではないけれど...

何がいけない？ ビジネスとサイバーセキュリティがつながっていない！ 何かいいことは？ 整合すれば見違えるような結果が得られます。

CISO、CSO などの役職でサイバーセキュリティ部門を管轄していると、「うちのセキュリティは大丈夫？」と会社の最高執行責任者や役員が比較的頻繁に問いかけてきます。そう簡単に答えられる質問ではありませんね。

企業リスクが急速にシフトしつつあるこの時に、感染症のパンデミック、経済情勢の悪化、リモートワークなどが次々と表れ、世界各地で蔓延しているサイバーアタックや脅威がリスクを増幅させるばかりでなく、サイバーセキュリティを役員会で最も注目される議題に押し上げています。それでありながら、前線に立つ我々は、山のような課題の対応に日々追われ、会社のサイバーセキュリティの状況を事業幹部に明確に伝えることは困難な状況です。

主要課題をいくつか洗い出してセキュリティリーダーがビジネス側のリーダーと意味のある対話を開始できるように、Tenable は Forrester Consulting にセキュリティ責任者 416 名、ビジネス責任者 425 名を対象としたオンライン調査と、その結果をもとにした中規模から大規模の企業のサイバーセキュリティ戦略と実践の分析を依頼しました。「ビジネス整合的なセキュリティ責任者の台頭」がその報告書です。事業の期待とセキュリティリーダーが直面する現実の不一致が浮き彫りにされています。しかし、同時に、今日のデジタル企業にとって唯一最大の機会に恵まれていることも明らかになりました。それは、CISO の役職を他の執行責任者の役職と同等の地位に引き上げるチャンスです。

将来を担うのはビジネス整合的なセキュリティリーダー

この調査で明らかになったテーマは次の４項目です。

• サイバーセキュリティの脅威は、先行きが不安な世の中で猛威を振るうので重要性を増し、取締役会でも討議の対象になります。ほとんどの企業 (94%) が過去 12 か月間に少なくとも 1 件のサイバーアタックを経験し、ビジネスが何らかの支障または悪影響¹を受けています。そのおよそ 3 分の 2 (65%) はオペレーショナルテクノロジー (OT) 資産に関する攻撃であったと報告されています。

• ビジネスリーダーは、自社のサイバーセキュリティ状況を明確に捉えたいのですが、セキュリティリーダーは即答できず、苦戦しています。「会社のセキュリティとリスク度は大丈夫 ?」と投げかけられて自信を持って答えられるセキュリティ責任者は 10 人中 4 人しかいません。

• 事業のサイバーリスクの理解と管理の間に隔たりがあります。特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。ビジネス部門のステークホルダーと討議して、事業のニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。セキュリティ部門のパーフォーマンスデータをビジネス部門のステークホルダーと定期的にリビューすると回答したセキュリティリーダーは 10 人に 4 人 (43%) でした。

• サイバーセキュリティは、ビジネスリスク戦略として進化しなければなりません。これはセキュリティリーダーがアタックサーフェスの全貌を可視化できるようになって初めて達成できることです。セキュリティリーダーの半数以上が、セキュリティ部門は自社のアタックサーフェス全体を包括的に理解して評価していると答えていますが、コンテキストを踏まえた脅威メトリクスを使ってサイバーリスクを測定していると回答しているのは半数未満です。つまり、ビジネスに与えるリスクの重大度と脅威のコンテキストは、企業のサイバーリスク分析、優先順位付け、修正実行の能力にまだまだ十分に反映されていないことを表しています。

合意されたビジネスリスクデータを使って、セキュリティリーダーとビジネスリーダーの認識が一致していると、結果に明らかに大幅な改善がみられることをこの調査は示しています。ビジネス整合的なセキュリティ責任者は、サイロ思考型の責任者と比べると 8 倍、自社のリスクレベルを説明できることに自信があるようです。特に、現在の経済情勢で世界的な経済活動の低下に見舞われ、企業が経費を見直しているこの状況でも、ビジネス整合的なセキュリティ責任者の 85% はサイバーセキュリティの ROI を追跡して事業成果への影響を測定しているのに比べて、サイロ思考型の同僚の場合、その割合はたったの 25%、ということが注目されます。

Sentara Healthcare の CISO Dan Bowden 氏が去年、Tenable のインタビューでこのように語っています。「現在の状況で企業のリスク管理に社会の注目が高まっており、あらゆる企業のあらゆるリーダーシップチームと取締役会が、問題修復のストーリーに関わりたいと考えています。セキュリティチームがエクスポージャーについて、本当に行う必要のあることは何かを示す、しっかりしたデータを提供すれば、彼らはそれを理解し、データの意味を把握できます。彼らは、セキュリティチームのストーリーの一部となって、問題解決とリスク管理の改善をサポートしたいと考えています」

ビジネスとセキュリティの整合性を達成するのに CISO とその他のセキュリティ、リスク部門のリーダーが必要とするのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。例えば、ビジネス整合的な企業では、一般的にビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命しています (80%) が、整合が進んでいない企業ではその割合は 35% です。また、ビジネス整合的なセキュリティリーダーは、脆弱性評価プロセスの主要部分の自動化の促進で、事後対応する傾向のあるサイロ思考型のリーダーに比べて 49 から 66 パーセントポイント先に進んでいることも、この調査結果が明らかにしています。

¹*「ビジネスが悪影響を受ける」とはサイバーアタックまたはセキュリティの侵害によって生じる顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失に関する状況を指します。

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

もっと詳しく

• その他の注目すべき調査結果はこちらから
• 詳細情報は Tenable ウェブサイトから
• 「ビジネス整合的なセキュリティ責任者の台頭」 ダウンロードはこちらから
• Sentara Healthcare が最高責任者と取締役員と有意義な検討を展開した事例をご紹介しています。 こちらからご一読ください。