なぜサイバーセキュリティリーダーは「会社のセキュリティは大丈夫 ?」に回答できないのか

第三者機関によるビジネスリスクの調査によると、サイバーセキュリティがビジネス戦略の一部として完全に統合されているケースはほとんどありません。しかし、完全統合こそ必要なのです。

ある日、脆弱性がトップニュースになります。想像してみてください。新たな脆弱性が開示されてヘッドラインニュースになったとします。新聞の 1 面やメディアのあちこちで大々的に報道されています。世界中のどの企業でも使っている汎用のソフトウェアに発見されたようです。取締役会では対応策を求め、経営幹部は慌てふためいて走り回っています。CEO が緊急役員会議を招集します。そこでセキュリティ責任者であるあなたに最初の質問が投げかけられます。「うちのセキュリティは大丈夫 ?」 

質問に答える準備ができていますか?

準備ができている、と答えた方は幸運です。Tenable が Forrester Consulting に委託して実施された調査によると、「会社のセキュリティとリスク度は大丈夫 ?」と投げかけられて自信を持って答えられるセキュリティ責任者は 10 人中 4 人しかいません。 

サイバーセキュリティ部門で 1 分でも仕事をされた方なら、なぜ、この質問に回答するのが意外なほどに難しいのかがお分かりでしょう。 

影響されているシステムの数や修正までの時間などは簡単にデータが全部提供できても、CEO の求めている回答にはなりません。CEO が知りたいのは、「この脆弱性は、会社の中核となる事業価値の提供にネガティブな影響を与えるのか？」です。

Forrester の調査は世界10か国の 416 名のセキュリティ責任者と425 名の事業責任者を対象としたもので、サイバーリスクの理解と管理について、事業責任者とセキュリティ責任者の捉え方には大きな乖離があることを示しています。この調査報告書、ビジネス整合的なセキュリティ責任者の台頭 によると、ビジネスリーダーの 66% が、自社のセキュリティ部門が会社のリスク度やセキュリティを定量化できることに「いくらか自信がある」だけという、信じられないような状況です。また、この調査では次のことも判明

• 特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。
• ビジネス部門のステークホルダーと討議して、ビジネスニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。
• 定期的にセキュリティ組織のパフォーマンスメトリクスを事業ステークホルダーとレビューしていると回答したセキュリティリーダーは、 43% のみ。
• サイバーセキュリティ戦略の構築にあたって、事業責任者と積極的に話し合うセキュリティリーダーは半数以下 (47%)。その逆も同様で、事業責任者も 10 人中 4 人 (42%) が事業戦略の策定の段階でほとんど、または全くセキュリティリーダーと相談していない。
• セキュリティリーダーの 54% と事業責任者の 42% のみが、自社のサイバーセキュリティ戦略が事業目標と完全に、もしくは密接に整合していると回答。

「ビジネスリーダーとの会話で最も気を付けなければならないのは、テクニカルな内容を避けてビジネスに焦点をあてること、言い換えれば、技術的な観点からではなく、ビジネス的な観点からの話をする必要がある、ということです。これは、ビジネスを理解していなければ不可能です。ビジネスリーダーが恐れていること、脅威を感じていること、重要だと考えていることを理解しなければなりません。彼らの観点からビジネスを理解して、彼らが何をしようとしているのか、何を保護しようとしているのか、何を収益化しようとしているのかがわかれば、それを安全に達成できるベストな方法が提示できるようになります。セキュリティ部門として満たさなければならない基準をクリアする一方で、彼らがビジネスを想定通りに展開できるような方法を提案するのです」と、米国テネシー州、オークリッジの Oak Ridge National Laboratory で CISO を務めている Kevin Kerr 氏は Tenable に言います。

ビジネスコンテキストを理解する

サイバーリスクのビジネスコンテキストを明確にするのは易しいことではありません。内容は個々の企業で異なります。 

メキシコのサンペドロに拠点を置く Home Depot Mexico の CISO、Cezar Garzar 氏は次のように語っています。「リスクという言葉は、事業責任者にとってなじみのある、しかも恐れられている言葉です。またサイバーセキュリティの世界ではよく知られている言葉です。サイバーセキュリティを専門にしている我々は毎分単位でリスク対応と取り組んでいます。脆弱性、コードの欠陥、人的要素、機能しないプロセス、サポートのないテクノロジー、不適切な構成、等々、リスクはサイバーセキュリティにも事業責任者にも共通する要素で、両者をつなぐコモングラウンド (共通領域) です。それでも、サイバーセキュリティでのリスクを事業責任者が理解できるようなビジネスリスクの言葉に置き換えることは難しいのです。ワーストケースシナリオを想定して、罰金、ブランドの損傷、顧客離脱、などに言及してその意味を伝える必要のある場合もあります。ですから、『サイバーセキュリティ関連の投資が理解できるように会社のリスクについて話し合おう』と私はよく呼びかけています」

ビジネスのコンテキストを説明するにあたって、セキュリティとリスク管理リーダーは、まず、次の 2 つの重要な質問に対して回答を用意する必要があります。

1. 企業活動の中核として作り出す価値は何ですか。 製造業ならモノを作って販売して利益を得ること、ヘルスケアなら患者に医療を提供すること、政府なら市民に運転免許証やごみ収集などのサービスを提供することになると思います。 
2. 数多くある IT 資産の内、企業の中核となる価値の創造に不可欠なものはどれですか。例えば、ERP システム、医療記録アプリ、データベースなどで、もしも利用できなくなってしまったら、日々の事業活動が継続できないものがありますか ?もしも侵害されたら最も重要な知的財産や機密データなどが露呈され、事業の中核となる価値が提供できなくなるようなコンピューターを使用しているユーザーグループが社内にありますか?もしもオフラインになってしまったら、銀行やネット販売など顧客対応の重要なウェブサービスに支障が生じる可能性のあるクラウド環境はありますか?

Tenable のインタビューを受けて、米国マサチューセッツ州、ニーダムから世界的に総合旅行プラットフォームを提供する企業の VP 兼 CISO の Rick Vadgama 氏はこう語っています。「さまざまなビジネスリーダーとビジネス上のパートナーシップを組むなり、定期的に会話をしたりして、彼らが現在進行させているイニシアチブは何かを理解することはとても役に立ちます。途中でシステムや機能が突然ダウンしたら、そこの収益の流れはどう影響を受けるだろう ? その答えをベースに、セキュリティの観点からどこに労力と時間を費やすべきかがわかります。重要なシステムに関連するすべての資産を徹底的に監視してデータを集め、脆弱性を特定できるようにします。情報セキュリティのリーダーが管轄する環境は広大です。ビジネスリーダーと本当に協働することによって、必要不可欠な主要システムは何かを彼らの観点から見出だして直接聞き出し、それを中心にセキュリティの仕事を組み立てるのです」

ビジネスコンテキストの理解を深めることは最も重要ですが、そのような理解があっても、既存の資産管理と構成データベースによって制限が課せられることを認識することも重要です。まず最初に、資産のインベントリや構成管理など概して変化の少ない運用項目を見てみましょう。私の経験からみると、ほとんどの企業は 1 年に 1 回、リスク評価を行うか、ビジネスの最重要機能にのみ業務影響分析を行っています。そのような静的なアプローチでは、オンプレミス、クラウド IT、IoT やオペレーショナルテクノロジーが動的に混在する現代のアタックサーフェスの現実を捉えるにはまったく不十分です。 

例えば、多くの大企業では、クラウドサービスを需要に応じた数だけ利用しており、毎日その数が変動します。また、人材の採用と離職の度に、コンピューター資産が追加されたり除去されたりします。アプリやソフトウェアは、ビジネスニーズの変化に応じて連続的に実装されたりアップグレードされたりします。そして、COVID-19 の世界的な感染拡大の影響で、非常に多くの社員が自宅勤務に移行し、事業運用の新しいパラダイムとなりつつあります。今日、ビジネスはデジタルコマースと同じ速さで動いており、資産インベントリはその変化のスピードに追従できません。このような状況で、セキュリティリーダーは、手持ちのツールを使って資産の重大度をできるだけ包括的に理解しようと苦戦しています。 

「現在の成長のスピードは、定性的なリスク評価で顕著になる不確実性と合わせると、セキュリティ担当者にとって最大級の課題です。これは、特に、通常は有機的な動きのない業界で顕著です」とマドリッドの LafargeHolcim IT の IT セキュリティと内部制御責任者の Jose Maria Labernia Salvador 氏が Tenable との対話で語っています。

最も重要なビジネス資産を特定することと同時に、毎年直面する数万もの脅威や脆弱性の中のどれが、実際に企業のコア資産にとって最大のリスクとなるのかを優先順位付けできる状態となっている必要もあります。セキュリティリーダーは、脆弱性や攻撃手法による脅威と、修正や緩和がビジネスに与える影響のバランスを考慮しなければなりません。企業がどの程度問題にさらされていて、堅牢なプロセスを使用してその問題に対処するのにどのくらい時間が掛かり、何も処置を取らない場合と処置した場合とで、自社の中核的なビジネス価値にどんな影響が及ぶのかを把握することが必要です。

今度、脆弱性のニュースが会社幹部の注目を浴びたとき、あなたはあの質問に答える準備ができていますか ?

結局のところ、経営幹部はサイバーセキュリティの専門家ではありませんし、もちろん脆弱性の専門家でもありません。彼らが知りたいのは、サイバーセキュリティ対策の運用は、自社の価値創造にどのようなインパクトがあるか ? ということです。ビジネス整合的なアプローチ、言い換えれば、事業の中核領域に最も影響のある資産のセキュリティを左右する脆弱性を自信をもって評価できるアプローチを取れば、「会社のセキュリティとリスク度は大丈夫 ?」という質問に明確な回答を得ることができます。 

ブログシリーズを読む: ビジネス整合的なサイバーセキュリティリーダーになる方法

このシリーズのこれまでのブログでは、サイバーセキュリティとビジネスを整合させることの課題、そしてなぜサイバーセキュリティリーダーは「会社のセキュリティとリスク度は大丈夫 ?」に回答できないのかを取り上げています。また、COVID-19 対策に対する戦略から垣間見えるビジネスとサイバーの断絶について解説し、なぜ既存のサイバーセキュリティのメトリクスでは十分にサイバーリスクについて伝えることができないのか 考察しました。また、ビジネスと整合を図るための 5 つの方法 を検討し、ビジネス整合的なサイバーセキュリティリーダーの一日をご紹介しています。

もっと詳しく

• その他の注目すべき調査結果はこちらから
• 詳細情報はTenable ウェブサイトから  
• 報告書全文「ビジネス整合的なセキュリティ責任者の台頭」のダウンロードはこちらから
• 次のブログもご覧ください。 サイバーセキュリティとビジネスの整合: 簡単にできることではないけれど...　
• ホワイトペーパー「ビジネス整合的なセキュリティリーダーの素質は ?」のダウンロードはこちらから