サイバーセキュリティの意思決定を改善してビジネスリスクを軽減する方法

サイバーセキュリティプログラムの効果を高めるために、幹部、戦略、戦術レベルの意思決定に役立つ適切なコンテキストを提供するメトリクスを特定

刻々と変化する環境に加えて、現代の IT 環境のスピードとスケーラビリティを利用する攻撃者に直面して、セキュリティチームの課題は増え続けています。 このような変化の速さと複雑さは、情報セキュリティチームの進化の新たな展開を示しています。今日、セキュリティチームは、リスク管理の専門家の役割も果たさなければなりません。 企業のセキュリティを一人で担う場合でも、大勢のチームの一員であっても、リスクをより効果的に軽減するには複数のレベルから意思決定を行うことが必要でます。 

最新のホワイトペーパー「ビジネスリスク決定のための 3 レベルのセキュリティ戦略」では、セキュリティチームが行うべき 3 レベルの意思決定戦略について説明しています。

• 幹部

• 戦略 

• 戦術 


各レベルの意思決定プロセスには多くのニュアンスが含まれ、複雑になることがあります。 ここでは、各レベルで必要となる意思決定の種類の例と、適切なメトリクスとツールを使用することで、3 つのレベルすべての意思決定を改善し、セキュリティプログラムの有効性を高める方法を紹介します。 

幹部レベルの意思決定

幹部レベルでは、セキュリティリーダーは、意思決定をサポートするために、2 つの異なる領域に取り組んでいます。それは、企業のセキュリティとリスクの体制に関する情報とメトリクスを、経営トップのセキュリティ担当者に伝達することと、自らの幹部レベルの意思決定によって自分のチームに方向性とサポートを提供することです。 

セキュリティ担当の幹部は、他の経営幹部をサポートして、企業全体に影響を与えるビジネス、収益、責任に関する意思決定を導くことのできる、広範囲な情報をセキュリティチームに要求します。このレベルでの意思決定を向上させるためには、セキュリティチームが提供するメトリクスは、リスクに基づいたもので、ビジネスドライバーの枠組みに沿って構成されていなければなりません。

例えば、ビジネスリーダーには、セキュリティ情報を企業の目標に沿った幅広いコンテキストで伝える必要があるので、エンドポイント保護ソフトウェアによってブロックされたマルウェアプログラムの数や、今月パッチが適用された脆弱性の総数を見ても、あまり価値はないでしょう。これらは、ビジネス上のコンテキストのない総量の数字を表しています。 その代わりに、脆弱性に重要なリスクが発見された場合、設定されたサービスレベル契約 (SLA) の時間枠内で排除された割合や、企業の主要なビジネス機能別 (主要な e コマースウェブサイトやニューヨークの主要データセンターなど) に見たリスク低減の傾向を考慮する必要があります。

セキュリティのパフォーマンスをより広い視点から見ることで、セキュリティリーダーは経営幹部にとって価値のある情報を提供することができ、経営幹部はその情報に基づいてセキュリティプログラムがどのように効果を発揮しているかを確認し、ビジネスにおけるリスクをさらに軽減、削減するために、より多くのリソースを投入しなければならない領域があるかどうかを判断することができます。

これらのメトリクスは、セキュリティチームだけの視点から見ると、チームのすべてのメンバーと意思決定レベルで推進されているすべての取り組みの総合的に表した数値です。 CISO とその他の幹部レベルのセキュリティリーダーは、その数値から、セキュリティチームに与えたビジョンが他のチームメンバーによってうまく実現されているかどうか、また、戦略および戦術レベルの意思決定が目に見える形でリスクの低減に効果的であるかどうかを、測定可能な方法を使って判断することができます。 もちろん、これらのメトリクスが下降傾向を示している場合は、軌道修正を行い、障害の除去、より多くのリソースの獲得、スタッフの増員、外部からの追加サポートなどに向けて、より多くの経営サポートが必要な分野を特定することができます。 

戦略レベルの意思決定

セキュリティチーム内の階層を下がっていくと、戦略レベルの意思決定者 (一般的にはディレクター、チームリーダー、その他の中間管理職や上級技術専門家やアナリストなど) がおり、彼らは幹部レベルのチームがビジネス全体の方向性についてより良い意思決定を行えるようにサポートすると同時に、戦術レベルのチームがリスクを低減するための修正作業をより効率的かつ効果的に行えるようにサポートする必要があります。 

リスクの優先順位付けは、戦術レベルのチームを最も効果的にサポートするための鍵となります。実務レベルでは、企業がリソースを最も重要な分野に集中させ、修正が最大の効果をもたらしていることを裏付ける、日々の運用上の意思決定が不可欠です。 ビジネス要件を運用に反映させるには、ビジネス全体にとって最も重要なリスクをどこで軽減すべきかを理解するだけでなく、運用チームが作業の優先順位をより効率的かつ効果的に付けられるようにするためにも、資産の重要度が鍵となります。 

企業資産のビジネスに対する重要度を、資産の場所、インターネットへの露出度、デバイスの種類、サポートするビジネス機能など、様々な要因から理解することで、よりリスクに応じたアプローチを修正ワークフローに適用することができます。    

また、セキュリティプログラムの全体的な管理のためには、ポリシー、プロセス、手順が期待通りに機能しているかどうか、時間の経過とともに成熟度を高めるのに役立っているかどうかを理解することも重要です。 戦略レベルの意思決定が、他の 2 つのレベルの意思決定をサポートすることが重要です。 より優れた戦略的意思決定によってセキュリティプログラムを常に改良、改善することで、プログラムが効果的であること、そしてそれが継続的に改善されていることを示すことができ、これは幹部レベルの意思決定者にとってビジネス価値を示す重要なメトリクスとなります。 セキュリティプログラムの改善に向けた取り組みがビジネスにとっても価値があることを幹部に理解してもらうことは、チームの成功に不可欠であるだけでなく、予算や人員の追加要求の際にも役立ちます。ですから、ここで成熟度の観点から評価と修正プロセスの有効性を測定することは、戦略レベルの意思決定者がこれらのワークフローを改善するために必要なリソースを振り向けることに役立つばかりでなく、効率とプロセスの最適化を通じて継続的にリスクを低減し、ROI の向上という全体的なビジネス要件の促進にもつながります。

戦術レベルの意思決定

実際の修正作業などのオペレーション業務にセキュリティチームが直接関与していなくても、セキュリティチームは、日々のパッチ適用や修正作業が効果的かつ効率的に行われることに重要な役割を担っています。

セキュリティチームは、発見事項を具体的な推奨ステップに変換して、運用チームの作業の効率化を支援します。運用チームは必要な作業は何かをすばやく理解して、必要な修正ステップが実行できる適切なワークフローを効率よく構築することがしやすくなります。ここでセキュリティプロセスと運用プロセスがよりシームレスに統合されると、プログラム全体の効率が向上し、企業にとってより良い価値を生み出し、より具体的なリスクを軽減することができます。

それぞれのレベルの意思決定にはそれぞれ独自の課題があります。 しかし、適切な洞察力と視点があれば、プログラムの効果を目に見える形で向上させ、実証することができます。

IT/OT環境の産業セキュリティについてもっと詳しく

• ホワイトぺーパーをご覧ください : ビジネスリスクの意思決定に必要なセキュリティ戦略の 3 レベル
• ウェビナーにご参加ください :  セキュリティ戦略の改善: 意思決定の 3 つのレベルをマスターする
• 動画をご視聴ください : Tenable Lumin でプログラムの有効性を測定する