ビジネス整合的なセキュリティリーダーになる方法

何がいけない？ ビジネスとサイバーセキュリティがつながっていない！ 何かいいことは？ 整合すれば見違えるような結果が得られます。

CISO や CSO、あるいは他の肩書でサイバーセキュリティを統括されている方は、「うちのセキュリティは大丈夫?」と会社の最高執行責任者や役員からよく聞かれることでしょう。答えに困る質問です。

感染症のパンデミック、経済情勢の悪化、リモートワークの一般化などに押されて企業リスクが急速にシフトされつつあるこの時代に、世界各地で蔓延しているサイバー攻撃や脅威は、それぞれのリスクを増幅させるばかりでなく、サイバーセキュリティを役員会で最も注目される議題へと押し上げています。それでありながら、前線に立つ私たちは、山のような課題の対応に日々追われ、会社のサイバーセキュリティの状況をビジネスリーダーに明確に伝えることが難しい状況です。

主要課題をいくつか洗い出してセキュリティリーダーがビジネス側のリーダーと意味のある対話を開始できるように、Tenable は Forrester Consulting にセキュリティ責任者 416 名、ビジネス責任者 425 名を対象としたオンライン調査と、その結果をもとにした中規模から大規模の企業のサイバーセキュリティ戦略と実践の分析を依頼しました。「ビジネス整合的なセキュリティ責任者の台頭」がその報告書です。事業の期待とセキュリティリーダーが直面する現実の不一致が浮き彫りにされています。しかし、同時に、今日のデジタル企業にとって唯一最大の機会に恵まれていることも明らかになりました。それは、CISO の役職を他の執行責任者の役職と同等の地位に引き上げるチャンスです。

将来を担うのはビジネス整合的なセキュリティリーダー

この調査で明らかになったテーマは次の４項目です。

1. サイバーセキュリティの脅威は、先行きが不安な世の中で猛威を振るうので、取締役会でも討議・把握しておくべき対象となります。大部分の企業 (94%) は、過去 12 か月間のうちにビジネスに悪影響のある*サイバー攻撃または侵害を受けています。その内約 3 分の 2 (65%) の企業が、攻撃はオペレーショナルテクノロジー (OT) 資産に関わるものであったと報告しています。
2. ビジネスリーダーは、自社のサイバーセキュリティ体制の全容を明確に捉えたいと考えていますが、セキュリティ部門は情報の提供に苦戦しています。セキュリティリーダーのわずか 10 人中 4 人しか、「会社のセキュリティとリスク度は大丈夫?」という質問に自信を持って答えられないと回答しています。統合されたデータや関連するビジネスコンテキストの欠如が、サイバーセキュリティに関する適切な意思決定を困難にする要因でもあります。
3. 事業のサイバーリスクの理解と管理の間に隔たりがあります。特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。ビジネス部門のステークホルダーと討議して、ビジネスニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のわずか半分 (51%) です。セキュリティ部門のパフォーマンス指標をビジネス部門のステークホルダーと定期的にレビューすると回答したセキュリティリーダーは、全体のわずか 10 人に 4 人 (43%) でした。
4. サイバーセキュリティは、ビジネス戦略として進化しなければなりません。これはセキュリティリーダーがアタックサーフェスの可視性を向上させることで初めて達成できることです。自社のセキュリティ部門がアタックサーフェス全体を包括的に理解して評価できていると答えたセキュリティリーダーは全体の半数余りにすぎず、コンテキストを踏まえた脅威メトリクスを使って自社のサイバーリスクを測定していると回答したのは半数未満でした。つまり、企業にはビジネスの重要度と脅威のコンテキストに基づいてサイバーリスクを分析して、修正に優先順位付けをして実行するという能力が不足していることを示しています。

本調査結果が示しているのは、合意済みのビジネスリスクデータをもとに、セキュリティリーダーとビジネスリーダーが共通認識を持つことができれば、実証で裏付けられる大幅な改善がみられるというこです。ビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。特に、世界的な不況によって企業が経費を見直さなければならない現在の経済情勢で、ビジネス整合的なセキュリティリーダーの 85% がサイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定する指標を有しているのに対して、事後対応型でサイロ思考型のリーダーの場合はわずか 25% であることが注目に値します。

Sentara Healthcare の CISO Dan Bowden 氏が去年、Tenable のインタビューでこのように語っています。「現在の状況で企業のリスク管理に社会の注目が高まっており、あらゆる企業のあらゆるリーダーシップチームと取締役会が、問題修復のストーリーに関わりたいと考えています。セキュリティチームがエクスポージャーについて、本当に行う必要のあることは何かを示す、しっかりしたデータを提供すれば、彼らはそれを理解し、データの意味を把握できます。彼らは、セキュリティチームのストーリーの一部となって、問題解決とリスク管理の改善をサポートしたいと考えています」

「企業のリスク管理の改善に関する社会の注目が高まっている現在の風潮を受けて、あらゆる企業のリーダーシップチームおよび取締役会は皆、問題修復過程の一環に携わりたいと考えています。」 - Sentara Healthcare 社 CISO、Dan Bowden 氏

ビジネスとセキュリティの整合性を達成するのに CISO とその他のセキュリティ、リスク部門のリーダーが必要とするのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。例えば、ビジネス整合的な企業では、一般的にビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命しています (80%) が、整合が進んでいない企業ではその割合は 35% です。また、ビジネス整合的なセキュリティリーダーは、脆弱性評価プロセスの主要部分の自動化の促進で、事後対応する傾向のあるサイロ思考型のリーダーに比べて 49 から 66 パーセントポイント先に進んでいることも、この調査結果が明らかにしています。

以下の章では、調査によって明らかとなった上述の成果、そして新しい成果について考察し、ビジネスとセキュリティ間の不一致の背後にあるテクノロジーとデータの課題を、Tenable がどう支援して解決できるのかについてアドバイスを提供します。 第 1 章では、「うちのセキュリティは大丈夫?」という質問に回答する際にセキュリティリーダーが直面する、さまざまな課題を掘り下げています。 第 2 章 では、企業が新型コロナウイルス感染拡大問題にどう対処したかを「見出しから切り抜いて」見ていくことで、ビジネスとサイバー間の不整合が具体的にどのような結果を生み出したのかを明確に示します。 第 3 章では、ビジネスリスクに対処するために必要なデータを CISO や他のセキュリティリーダーに提供する上で、既存のサイバーセキュリティメトリクスでは何が不足しているのかを説明します。 第 4 章 と 第 5 章 では、ビジネス整合的なサイバーセキュリティの管理プラクティスが実際どのようなもので、社内でどう構築していけばよいのか、そして現在のセキュリティリーダーの役割をビジネス整合的なサイバーセキュリティリーダーの役割へと転換させるためのヒントや推奨事項について説明します。

- Tenable 最高セキュリティ責任者 Robert Huber *本調査の目的において、「ビジネスに悪影響のある」とは、サイバーアタックまたはセキュリティの侵害によって、次のいずれか 1 つまたは複数が発生する状況を指します。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失。

企業はどのようにしてサイバーリスクを客観的に測定できるか

Cyber Exposure 管理のベストプラクティスを採用することによって、企業は部門間のサイロを従来よりも効果的に削減し、ビジネスチームとセキュリティチームの両方が理解できる、リスクに関する議論のための共通言語を導入できます。企業は Tenable を利用して、現代のアタックサーフェス全体のサイバーリスクを総合的に評価、管理し、最終的に削減できます。Cyber Exposure は、戦略的な意思決定を導き、セキュリティ戦略をビジネスの目標とより良く整合させることを可能にする、社内および競合他社と比較したサイバーリスクの客観的な測定手段を提供します。例えば IT 部門の IT サービスマネジメント (ITSM) や営業部門の顧客関係管理 (CRM) には各々記録システムがあるのと同様に、Tenable はサイバーリスクをビジネスリスクの 1 つとして効果的に管理、測定するための記録システムとして機能できます。

詳細はこちらから

サイバーセキュリティがビジネス戦略に完全に統合されているケースはほとんどありません。しかしそれが必要なのです。

想像してみてください。 大ニュースになるような脆弱性 が公開されました。あらゆるニュースやソーシャルメディアで大々的に報道されています。脆弱性は、世界中のどの企業でも使っている汎用のソフトウェアに発見されたようです。取締役会では対応策を求め、経営幹部は慌てふためいて走り回っています。CEO が緊急役員会議を招集します。そこでセキュリティ責任者であるあなたに、最初の質問が投げかけられます。「会社のセキュリティとリスク度は大丈夫?」

質問に答える準備ができていますか?

準備ができている、と答えた方は幸運です。Forrester Consulting の調査報告書「 ビジネス整合的なセキュリティ責任者の台頭」によると、「会社のセキュリティとリスク度は大丈夫?」という質問に自信を持って回答できるセキュリティリーダーは 10 人中 4 人しかいません。

サイバーセキュリティ部門で短期間でも仕事をされた方であれば、なぜこの質問に回答するのが意外なほどに難しいのかお分かりでしょう。

影響を受けるシステムの数や修正までの時間などはデータとして提供することは可能ですが、こうしたデータでは CEO の求めている回答にはなりません。CEO が知りたいのは次のことです。会社の中核となる事業価値の提供能力はこの脆弱性によって阻まれるか ? 

結局のところ、経営幹部はサイバーセキュリティの専門家ではありませんし、もちろん脆弱性の専門家でもありません。彼らが知りたいのは次のことです。サイバーセキュリティ対策の運用は、自社の価値創造にどのようなインパクトがあるのか?

Forrester Consulting の調査は、事業のサイバーリスクの理解と管理の間に隔たりがあることを明らかにしています。例えば、自社のセキュリティチームが持つリスクレベルやセキュリティレベルの定量化能力に、「いくらか自信がある」と回答したビジネスリーダーは、驚くべきことにたったの 66% でした。この調査で明らかになったのは次の事柄です。

• 特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。
• ビジネス部門のステークホルダーと討議して、ビジネスニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のたった半数 (51%)。
• 定期的にセキュリティ組織のパフォーマンス指標をビジネス部門のステークホルダーとレビューしていると回答したセキュリティリーダーは、全体のわずか 43%。
• サイバーセキュリティ戦略の策定にあたって、事業責任者と積極的に話し合うセキュリティリーダーは半数以下 (47%)。またその逆も同様で、事業責任者も 10 人中 4 人 (42%) が事業戦略の策定の段階でほとんど、または全くセキュリティリーダーと相談していません。
• セキュリティリーダーの 54% と事業責任者の 42% のみが、自社のサイバーセキュリティ戦略が事業目標と完全に、もしくは密接に整合していると回答。

ビジネスコンテキストを理解する

サイバーリスクのビジネスコンテキストを明確にするのは容易いことではありません。そして内容は個々の企業で異なります。ビジネスのコンテキストを説明するにあたって、セキュリティとリスク管理リーダーは、まず、次の 2 つの重要な質問に対して回答を用意する必要があります。

1. 会社の中核となる存在理由は何ですか? 製造業の場合、モノを作って販売して利益を得ることでしょう。ヘルスケアなら、患者に医療を提供することかもしれません。行政なら、市民に運転免許証の発行やごみ収集などのサービスを提供することかもしれません。
2. 数多くある IT 資産の中で、企業の中核となる存在理由をもたらすために不可欠なものはどれですか? 例えば、ERP システム、医療記録アプリ、データベースなどで、もしも利用できなくなってしまったら、日々の事業運営が継続できなくなるものはありますか? もしも侵害されたら最も重要な知的財産や機密データなどが露呈され、事業の中核となる価値が提供できなくなるようなコンピューターを使用しているユーザーグループが社内にありますか?もしもオフラインになってしまったら、銀行やネット販売など顧客対応の重要なウェブサービスに支障が生じる可能性のあるクラウド環境はありますか?

既存の資産管理および構成データベースは、今のところ、ビジネスに関する質問にしか答えてくれません。まず第一に、資産のインベントリや構成管理は、かなり静的な運用となっています。ほとんどの企業では、ビジネスの最重要機能に対して年に 1 回のリスク評価またはビジネスへの影響の分析を行うに留まっています。そのような静的なアプローチでは、オンプレミスやクラウドベースの IT、IoT やオペレーショナルテクノロジー (OT) が動的に混在する現代のアタックサーフェスの現状を捉えるには全く不十分です。

既存の資産管理や構成データベースからでは、ビジネスに関する質問に十分に答えようがありません。

例えば、多くの大企業では、クラウドサービスを需要に応じた数だけ利用しており、毎日その数が変動します。また、人材の採用と離職の度に、コンピューター資産が追加されたり除去されたりします。アプリやソフトウェアは、ビジネスニーズの変化に応じて連続的に実装されたりアップグレードされたりします。そして、COVID-19 の世界的な感染拡大の影響で、非常に多くの社員が自宅勤務に移行し、事業運用の新しいパラダイムとなりつつあります。今日、ビジネスはデジタルコマースの速さで動いており、資産インベントリはその変化のスピードに追従できていません。このような状況で、セキュリティリーダーは、手持ちのツールを使って資産の重大度をできるだけ包括的に理解しようと苦戦しています。 

最も重要なビジネス資産を特定することと同時に、毎年直面する数万もの脅威や脆弱性の中のどれが、実際に企業のコア資産にとって最大のリスクとなるのかを優先順位付けできる状態となっている必要もあります。セキュリティリーダーは、脆弱性や攻撃手法による脅威と、修正や緩和がビジネスに与える影響のバランスを考慮しなければなりません。企業がどの程度問題にさらされていて、堅牢なプロセスを使用してその問題に対処するのにどのくらい時間が掛かり、何も処置を取らない場合と処置した場合とで、自社の中核的なビジネス価値にどんな影響が及ぶのかを把握することが必要です。

今度、脆弱性がニュースになって経営幹部の注目を浴びたとき、あの 質問に答える準備ができていますか?

結局のところ、経営幹部はサイバーセキュリティの専門家ではありませんし、もちろん脆弱性の専門家でもありません。彼らが知りたいのは次のことです。サイバーセキュリティ対策の運用は、自社の価値創造にどのようなインパクトがあるのか? ビジネス整合的なアプローチ、言い換えれば、事業の中核領域に最も影響のある資産のセキュリティを左右する脆弱性を自信をもって評価できるアプローチを取れば、「会社のセキュリティとリスク度は大丈夫 ?」という質問に明確な回答を得ることができます。 

「会社はセキュリティリスクにさらされているか?」という質問に対する答えを用意する

情報セキュリティ業界では「所有していることがわからない資産を保護することはでない」のは常識です。自社環境に存在する資産の完全な理解なくして、サイバーリスクを根本的に理解することは困難です。加えて、重要なビジネス機能をサポートする上で、それぞれの資産が果たす役割を把握していなければ、脆弱性にパッチを適用するためにシステムをオフラインにした場合の影響を測定したり、特定のシステムに対処する価値があるかどうかを決定したりすることは不可能です。それでは、どこから着手すればよいのでしょうか?

1. 自社のビジネス環境を把握する。ビジネスパートナーと連携して、保護を必要とするサービスとアプリケーションを把握、特定し、優先順位付けを行います。すべてが重要であるということは、何も重要ではないのと同じことです。この情報が無ければ、エクスプロイトによってどの部分に被害が及ぶかを見分けることができず、万が一問題が生じた際に誰と連携すればよいのかがまずわかりません。
2. すべての資産を継続的に評価する。従来型のスキャナーの大部分は従来の IT 環境向けに構築されており、クラウドや OT、コンテナ環境といった、現代のアタックサーフェスの最も動的な部分に存在する脆弱性を検出できるようには設計されていません。資産の場所や置かれている環境、監査対象の有無、ネットワークに接続される頻度を問わず、自社の環境のできるだけ多くの部分を評価するために、アクティブスキャン、パッシブモニタリング、エージェント、コネクタおよび統合を含む 包括的なソリューション にアップグレードする必要があります。
3. 資産にメタデータを記述したタグ付けを行い、ビジネスコンテキストを追加する。タグを使用してビジネスにとって重要な資産を特定します。タグ付けにより、事業部門ごと (これらの資産はどの「業務」をサポートしているのか)、またはチームごと (潜在的な問題の修正のために誰と連携する必要があるか) にリスクを測定することが可能になります。Tenable を使用すると、自動 (ルールを使用) および手動の両方で資産にタグ付けできます。
4. リスクに基づいて脆弱性に優先順位付けをし、アクションを決定する。最も重要なビジネス資産を特定するだけでなく、企業が直面する脅威や脆弱性の中のどれがコア資産にとって最大のリスクとなるのかを優先順位付けする必要もあります。セキュリティリーダーは、脆弱性や攻撃手法による脅威と、修正や緩和がビジネスに与える影響のバランスを考慮しなければなりません。毎年現れる数万もの新たな脆弱性の中のどれが攻撃者が悪用する可能性が最も高く、その脆弱性にどのようにさらされていて、修正プロセスを使用してどのくらいの速さでそれらの問題に対処でき、何も処置を取らない場合と処置した場合とで、中核的なビジネス価値にどんな影響を与えるのかを予測する必要があります。

世界中の企業が COVID-19 の感染拡大に対する戦略の策定に奔走する中で、サイバーセキュリティへの影響を考慮することが忘れられていました。

サイバー犯罪者はマルウェア攻撃やフィッシング詐欺を行うために、世界的な危機であれ、大々的に報道された WannaCry のような脆弱性であれ、大きなニュースとなったイベントの周囲に群がるのは周知の事実です。2020 年には、COVID-19 の出現によるウイルス感染症の世界的な流行ほど注目を集めたニュースは他にありませんでした。この危機は多くの企業の隙を突き、災害対策と事業継続ための準備が欠如している場合に、ビジネスリーダーとセキュリティリーダーの間の不整合と相まって、企業がどれほどの危険にさらされるのかを浮き彫りにしました。

Forrester Consulting の委託調査 によると、回答者のほぼ全員 (96%) が、COVID-19 への対処戦略を策定したと答えましたが、その大部分 (75%) は、ビジネスとセキュリティの取り組みは良く見ても「ある程度」整合しているだけ、と回答しました。

この事実は、パンデミックを受けて突如として普及した在宅勤務モデルによって、膨大な数のエンドユーザーのデバイスが企業ネットワーク上に解放されつつある今の時代に、大きな不安をもたらします。かつては特定のグループのための、あれば便利だがなくてもかまわない機能であったリモートデスクトップは、今や企業の事業継続のために多くの従業員が利用する不可欠なツールとなりました。従業員は、前もってテストされていない、脆弱な可能性もある家庭用のルーターやホームネットワークを使用して、企業の基幹システムやアプリケーションに前触れなく接続します。IoT デバイスも、その普及により、潜在的な脅威ベクトルになっています。標準的なホームネットワーククラウドには、配偶者や子供、他の家族の持ち物である各種ノートパソコンやタブレット、携帯電話は当然のこと、Amazon Alexa や他の音声コントロールツール、インターネットに接続された TV やゲームデバイスなども含まれる可能性があります。

Forrester Consulting の調査に応じたサイバーセキュリティリーダーの約半数 (48%) が、リモートで在宅勤務している従業員に対する可視性は中程度か、あるいは全くないと回答しています。

Brookings Institute は、2020 年 4 月 9 日の時点で、最大で 米国の労働者の半数が在宅勤務をしていると推定しており、これを「非常に大規模な変化」として注目しています。事実、 Pew Research の調査 によると、パンデミック以前に「柔軟な勤務場所」の利点や、テレワークの選択肢を活用できていたのは、約 1 億 4 千万人いるとされる米国の民間労働者のわずか 7% に当たる約 980 万人のみでした。

この状況でサイバー犯罪者は、アタックサーフェスの指数関数的な拡大に乗じて襲いかかろうとしています。Forrester の調査によると、企業の 10 社に 4 社 (41%) が 2020 年 4 月中旬の時点で既に少なくとも 1 回、COVID-19 に関連するフィッシングまたはマルウェアの手口による、ビジネスに悪影響のある*サイバー攻撃を受けています。実際、COVID 関連の詐欺は、同調査結果内で報告されているビジネスに悪影響のあるすべてのサイバー攻撃の原因の中で第 1 位となっています。世界保健機関による COVID-19 のパンデミック の宣言は、調査が行われたわずか数週間前であったにもかかわらず、調査の時点で COVID 関連の攻撃は、詐欺 (40%)、データ漏洩 (37%)、ランサムウェア (36%)、ソフトウェアの脆弱性 (34%) といった、ビジネスに悪影響のある他の攻撃の被害確率を上回っていました。

サイバーセキュリティリーダーがこの傾向を懸念したのも無理はありません。Forrester の調査では回答者の 3 人に 2 人 (67%) が、COVID-19 によって余儀なくされた従業員の変化が企業のリスクレベルを押し上げることを非常に、または極度に懸念していると回答しました。

さらに悪いことに、調査対象のサイバーセキュリティリーダーの約半数 (48%) が、リモートで在宅勤務している従業員に対する可視性は中程度か、あるいは全くないと回答しています。

この隔たりを埋める重要な方法の 1 つは、企業がリスク管理戦略を策定する際に、サイバーセキュリティを考慮することです。 

ビジネス整合的なサイバーセキュリティリーダーになるためにリスク管理がどう役立つか 

CISO や CSO や他のサイバーセキュリティリーダーは、その独自の立場から、リスク管理および関連する事業継続計画、災害復旧、危機管理の領域においてより広範囲な責務を担うのに適しています。セキュリティリーダーは、テクノロジーとビジネスの交差点で活躍する職務です。事業継続計画や災害復旧計画の実現に必要となるシステム、データ、プロセスのすべてを可視化している立場です。リスク管理に従事すれば、自身の職務も多少管理しやすくなります。自社の重要なプロセスや資産のすべてを、企業全体の幅広いリスクの観点から理解することができれば、サイバーセキュリティでも実力を伸ばすことができるのは間違いないでしょう。

リスク管理の活動は、自社のビジネスと情報セキュリティの架け橋となり、明らかな業務上の利益を得られます。その過程で明らかになる内容によって、危機の渦中でも経営を継続するために、人的および財務的リソースに最善の優先順位付けをして割り当てる方法を企業全体が把握できるようになります。  

自社の重要なプロセスや資産のすべてを、企業全体の幅広いリスクの観点から理解することができれば、サイバーセキュリティに関しても実力が伸ばせるのは間違いないでしょう。

企業が直面している不安定な経済状況が長期化する可能性のあるこの時代では、リスクに基づいて投資に優先順位を付けることが以前にも増して非常に重要となっています。Forrester の調査結果から、セキュリティとビジネスが整合していれば、顕著な成果が得られることが示されています。例えば、ビジネス整合的なセキュリティリーダーの 85% が、サイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定する指標を有しているのに対して、事後対応型でサイロ思考型のリーダーの場合にはわずか 4 分の 1 (25%) です。

企業の全社的リスク管理 (ERM) 戦略の策定に関与することで、ビジネス整合的なサイバーセキュリティリーダーとなる道を歩むことができるでしょう。

次の 6 つのステップに従って、企業リスクの特定と評価を始めてみてください。

1. リスク評価の調査を作成し、主要なステークホルダーに配布します。通常、シニアディレクター以上のレベルに対して行い、対象範囲には財務、法務、人事、情報テクノロジー、情報セキュリティ、営業、オペレーション、マーケティング、研究開発といった、自社の主要な部門すべての代表者を含めます。調査が完了したら、回答をリスクカテゴリー毎に整理して、企業リスクのインベントリとして集計できるようにするとよいでしょう。
2. 調査・分析を実行し、自社の企業リスクを業界のリスク調査結果と比較します。
3. 総合的なリスク格付けを行うために、可能性と影響を含めたリスク評価手法を策定します。
4. 自社の主要なリーダーを特定し、時間を割いてヒアリングを行い、リスクと優先順位、リスクの可能性と影響に関するフィードバックを入手します。
5. リスク評価結果を役員に説明し、最も危険なリスクが何か、具体的に決めて、各リスクの責任者レベルの所有者を割り当てます。
6. 責任者レベルのリスク所有者と連携して、最重大リスクに対する緩和活動を明確に します。

上記のステップは暇手間のかかる作業ですが、一連の明確な優先順位が判明することで大きな利益をもたらします。合意された企業リスクのリストを得ることができるからです。サイバーセキュリティは単体で企業リスクとなる可能性がある一方で、他のすべての部分にも何らかの形で影響を与える可能性があり、それでなくとも確実に他の多くの部分に影響を与えます。

企業リスク評価を、ビジネスインパクト分析と組み合わせてください。企業が最低限存続するために不可欠な重要システムやビジネスプロセスが判断できる、事業継続と災害復旧に欠かせない情報が得られます。この 2 つは、ビジネスとの整合性をとるサイバーセキュリティ戦略を策定するための土台になります。こうして手にすることのできた、最も重大な企業リスクおよびプロセスのリストは、危機の原因がサイバー攻撃であろうと、あるいは自然災害や、世界的なパンデミックであろうと、危機発生時の対応にも、そして通常操業の再開時にも、同様に適用できる対応優先順位付けを可能にします。

安定した時期には、企業のリスク管理は、分離されたリスク専門家チームにやらせておけばよい、単純なチェック作業だと位置づけされがちです。しかし、COVID-19 によって、ビジネスリーダーと技術リーダーは緊急対策として危機管理について学ばなければならない状況に置かれたのです。企業リスクに対するアプローチを考え直し、被害を想定して準備を行い、状況が良くなった時にメリットを得られるようにするための機会として、この時期を捉えることに価値があります。

*本調査の目的において、「ビジネスに悪影響のある」とはサイバーアタックまたはセキュリティの侵害によって、次のいずれか 1 つまたは複数が発生する状況を指します。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失。

急激な変化の中でセキュリティ体制を管理する

急激に変化する時代には、新しいビジネス戦略が同時にどのように自社のアタックサーフェスを拡大し、新たなリスクを呼び込む可能性があるのかを理解することが特に重要です。セキュリティリーダーには、こうした変化によってセキュリティ体制が受ける影響を測定する能力と同時に、その情報を自社のパートナーに分かるように伝える能力が求められます。

これらのニーズの両方に応えるために、Tenable は Cyber Exposure Score (CES) を用意しました。これは、企業の技術的リスクとビジネスリスクを 1 つの数字で表す、シンプルで客観的な格付けのシステムです。CES はデータサイエンスに裏付けられており、脆弱性データと他のリスク指標（脅威インテリジェンスや資産重要度など）を組み合わせる機械学習アルゴリズムにより、毎日自動的に更新されます。このスコアは、脆弱性が悪用される可能性と潜在的な影響を測定する Tenable の Vulnerability Priority Rating (VPR) と、影響を受けるそれぞれの資産のビジネスにおける価値を追跡する Asset Criticality Rating (ACR) とを一体化したものです。

進化する脅威環境によって継続的なコミュニケーションが必要となっていることから、Tenable では Cyber Exposure の傾向の継続的な視覚化にも対応しています。その中には、時間経過による改善または悪化の表示も含まれ、セキュリティリーダーとビジネス部門のステークホルダーに対してセキュリティプログラムの有効性に関する知見をもたらします。自社の過去 6 か月分の CES を表示して、7 日間のスコアの変化から潜在的な問題を警告できます。また、このデータを使用すればセキュリティリーダーの活動の経時的進捗をグラフで表すことができ、問題のある領域を特定して必要に応じたリソースを割り当てることができます。

非常に多くのツールを自由に利用できるにも関わらず、情報セキュリティリーダーはビジネスとセキュリティの隔たりを埋めるのに苦労しています。

サイバーセキュリティのビジネスリスクのコンテキストを、経営幹部にどのように伝えればよいでしょうか。

セキュリティリーダーやリスク管理リーダーは、自社のプログラムの最も詳細な面を測定できるフレームワークとコントロールを利用できます。そこから得られるメトリクスは、セキュリティチームの日々の業務管理を支援する上で極めて貴重なものですが、ビジネスリーダーとの会話においては不十分です。

経営幹部や、監査委員会 (往々にしてセキュリティは担当していない) レベルとやり取りする場合、執行責任者や役員が知りたいのは、サイバーセキュリティプログラムが自社の中核的な価値提案の実行能力にどのように影響しているのかということです。それなのに、Tenable の委託により Forrester Consulting が実施した 800 名以上のビジネスリーダーおよびサイバーセキュリティリーダーを対象とする グローバル規模の調査 によると、わずか 66% のビジネスリーダーが、自社のセキュリティチームのリスクとセキュリティレベルの定量化能力に「いくらか自信がある」と回答していました。

現行のサイバーリスク測定方法では、企業が必要とするビジネスコンテキストは得られません。

セキュリティリーダーが間違ったことをしていることを示唆しているわけではありません。むしろ、避けることのできない現実を明確に照らし出しています。即ち、現行のサイバーリスク測定方法では、企業が必要とするビジネスコンテキストは得られないということです。調査に応じたセキュリティリーダーの半数以上は、現在使っているツールやプロセスではビジネスに対するサイバーセキュリティ上の脅威を予測できるかどうか確信がなく、約 5 分の 2 はデータがあるかどうかも不明でした。

サイバーリスクの計算方法は?

サイバーリスクは、任意の時点での資産やセキュリティコントロール、脅威、そして脆弱性の状態によって決まります。自社の中核的なビジネス価値にとって最も重要な資産が特定で きない限り、どのサイバーリスクが自社のビジネスにとって実際の脅威となるのかを理解することは不可能です。まず最も重要な資産を特定したあと、企業が毎年直面する数万もの脅威や脆弱性の中のどれが実際にコア資産にとって最大のリスクとなるのかを理解する、これが次のステップです。

Forrester Consulting の調査に応じたセキュリティリーダーの過半数 (56%) は、脆弱性優先順位付けプロセスにビジネスリスク管理目標を適用していません。

Forrester の調査によると、特定のビジネスリスクの観点からサイバーセキュリティ上の脅威の影響を考慮しているセキュリティリーダーは 50% 未満です。回答したセキュリティリーダーの過半数 (56%) は、脆弱性優先順位付けプロセスにビジネスリスク管理目標を適用していません。ビジネス部門のステークホルダーと討議して、コスト、パフォーマンス、リスク削減目標をビジネスニーズと整合させていると回答したのは、全体のわずか半数 (51%) です。そして、セキュリティ部門のパフォーマンス指標をビジネス部門のリーダーと定期的にレビューすると回答したセキュリティリーダーは、わずか 4 人に 1 人でした。

また、調査では次のことも明らかになりました。

• セキュリティリーダーの半数以上 (56%) が、最も重要な資産のセキュリティに対する十分な可視性がないと回答しました。
• オンプレミスの従業員に対するリスク評価に対しては、高い、もしくは完全な可視性を持っていると回答したのは約 60% ですが、リモートワーカーや在宅勤務の従業員に対して同様の回答をしたのは 52% だけでした。
• 請負業者やパートナーが利用するシステムに対して高い、もしくは完全な可視性があると回答したのはわずか 51% で、サードパーティのベンダーに対して同様の回答をしたのは 55% でした。

ビジネスコンテキストなしに、サイバーリスクを算出することはできない

経営幹部や役員からセキュリティリーダーに対する、最もよくある質問のうちの 2 つは、次のようなものです。「当社は安全ですか?」および「当社のセキュリティプログラムは競合企業と比較してどうですか?」

しかし、事業責任者とは異なり、セキュリティリーダーは限られた客観的なデータしか持っていません。その限られたデータをもとに、2 つの質問に答えるために必要となる、資産やセキュリティコントロール、脅威、そして脆弱性を踏まえたサイバーリスク方程式を構築することが必要になります。既存のフレームワークでは情報セキュリティの業務全体を捉えることはできず、セキュリティリーダーは寄せ集めの対策を急造せざるを得なくなります。それぞれの資産に関するビジネスコンテキストの客観的な測定が無くては、サイバーリスクの計算はそれなりのものにしかなりません。

Forrester Consulting の調査に回答したセキュリティリーダーのうち、使用している業界用のベンチマーキングフレームワークがビジネスリスクの正確な報告に非常に効果的だと考えているのは、半数未満です。

事実、Forrester の調査によると、使用している業界用のベンチマーキングフレームワークがビジネスリスクの正確な報告に非常に効果的だと考えているセキュリティリーダーは半数にも至りません。そして半数以上が、自社のセキュリティコントロールをベンチマーキングする十分な作業を行っていないと回答しています。

同時に、どんな企業でもアタックサーフェスには非常に多くの変数が内包されているため、業界全体でセキュリティメトリクスに関する合意を形成するのは、今のところ、近い将来においてもおそらく不可能です。常に 100% 安全だと主張できる企業はありません。セキュリティリーダーが持っているのは、情報に基づいた、許容できるレベルと考えられるリスクの計算結果だけです。その結果をもとに、妥当なレベルのエクスポージャーまで対処し、その先どの程度まで対処すべきかというビジネス上の意思決定が可能になります。

それでは、利用可能なリソースを活用して、サイバーセキュリティとビジネスの隔たりを埋めるにはどうすればよいでしょうか。

手持ちのデータを活用して、目標を達成する

リスクとは絶対的なものではなく、相対的なものです。企業の中には、常にリスクが存在します。問題となるのは、企業のリーダーが特定のビジネス上のアクションを取ったことで、リスクが減少したのか増大したのかということです。現在利用可能なセキュリティ評価オプションを利用すれば、計画のあらましを描くことは可能で、それをセキュリティプログラムの更なる改良に必要な作業を特定するためのスタートラインとすることができます。

企業にとって最も重要となる主要リスク指標を特定する上で、どんな場合にも当てはまる汎用のアプローチは存在しません。セキュリティの専門家であるセキュリティリーダーができることは、経営幹部レベルのビジネスリーダーと連携して、彼らにとって最も意味があるビジネスリスクメトリクスの策定を始めることです。

そのために、Tenable の CSO である Robert Huber は、彼自身のキャリアコースの中で役員や経営幹部から問いかけられた実際の質問の一覧を以下の通り提供しました。ご自身が上層部との打ち合わせに向けて準備する際に、これらの例を考慮してみてください。

1. 事業における最も重大なリスク、重要な機能や資産は何ですか、あるいはどこにありますか?
2. それらを保護するために、何が行われているのか?
3. 現在のセキュリティプログラムの成熟度は、業界全体、あるいは競合企業と比較してどの程度か ?
4. 成熟度を向上させるためのロードマップはどのようなものか?
5. 現在のセキュリティプログラム向けに準備されているリソースは、競合企業や同業者と比較してどうか?
6. ビジネス最必須機能のセキュリティは、1 年前と比較して強化されているか ?
7. (最も直近で大ニュースとなった脆弱性をここに記載) に関して、どんな対策を講じていますか?

いかがでしょうか。このような項目の他に、測定価値のある別のビジネスリスク指標など、独自のアイディアが思い浮かぶかもしれません。セキュリティリーダーがそのすべてを駆使すれば、サイバーセキュリティとビジネスを整合できるより良い方法につながるでしょう。

ビジネスリーダーや役員にセキュリティ戦略を伝えるための、共通の言語を導入する

ビジネスとセキュリティのギャップを埋めるのは、難しい課題です。セキュリティ責任者は、事業責任者が必要とする情報をうまく伝達できていません。Forrester の報告書は、事業責任者にとってビジネスリスクを明瞭かつ簡潔に測定でき、事業運営に活用できるデータを提供できるツールが必要なことを浮き彫りにしています。そのようなツールには、セキュリティ部門の必要とする広範囲な機能も備えられていなければなりません。その理想が Tenable Lumin であると言えます。

• サイバー上のリスク変動資産を測定し、伝達する
  脆弱性データを他のリスク指標 (脅威インテリジェンスや資産重要度など) と組み合わせる Cyber Exposure Score (CES) を用いて、サイバーリスクを客観的に測定します。CES は、単一の資産から企業全体のすべての資産まで、任意の資産グループに適用することができます。この情報を活用することにより、活動に優先順位を付けて最も重要な機能と資産を保護し、進捗を報告できます。
• 「Cyber Exposure の傾向」を追跡する
  高度な視覚化により、改善傾向をセキュリティプログラムの有効性の指標として把握できます。自社の過去 6 か月分の CES を追跡して、7 日間のスコアの変化から潜在的な問題を警告します。このデータを使用してセキュリティリーダーの活動の進捗を時間とともにグラフで表し、問題のある領域を特定し、それに応じてリソースを割り当てることができます。
• 成熟度を競合他社とベンチマーキングする
  競合他社に対してベンチマーキングすることで、短所と長所をすばやく特定できます。ベンチマーキングは、CES や評価成熟度などの多くの主要なメトリクスで利用でき、自社のセキュリティ運用の有効性を分析して業界や全体の平均と比較できるベースラインを提供します。
  
• 企業全体のギャップとベストプラクティスを分析する
  CES は任意の資産グループに適用できるため、セキュリティチームは社内の業務グループ (事業ユニット、コンピューティング環境、支店など) をベンチマーキングし、相互に比較できます。この分析を通して、リスクのエクスポージャーが高い領域に集中的にリソースを手配して作業し、組織全体に通じるベストプラクティスを確立できます。資産グループは既存のタグを活用して自由にカスタマイズできるため、組織の一部を絞り込んだり、分析することが可能です。

合意済みのコンテキストデータを中心としてセキュリティ部門とビジネス部門の認識が一致していれば、確かな成果が得られます。その方法をご紹介します。

サイバーセキュリティリーダーは、データの海に溺れています。いくつの脆弱性が存在するのかは、わかっています。いくつのパッチを適用したかも、わかっています。最新の脅威に関する文書の章や節を暗唱することさえ、できるでしょう。しかし、こうしたすべての情報を自由に利用したとしても、依然として「会社のセキュリティとリスク度は大丈夫?」という質問に自信をもって答えるのが困難な場合があります。

なぜでしょうか ? 重要な鍵となる情報である、ビジネスコンテキストが欠けているからです。

企業のセキュリティレベルやリスクレベルの計算に利用される典型的な式は、資産やセキュリティコントロール、脅威、そして脆弱性の状態によって決まる関数です。ビジネスコンテキストが無ければ、すなわち、ビジネスの中核的な価値提案に対してどの資産が最も重要で、それぞれの資産に対してどのセキュリティコントロールが有効であるかを理解していなければ、どんなセキュリティリスクの計算結果も不完全なものになってしまいます。

しかし、サイロ化された状態で業務を行っていては、セキュリティリーダーはビジネスコンテキストを理解することはできません。その理解のためには、ビジネスリーダーとサイバーセキュリティリーダーの間に、ある程度の戦略の整合が必要となりますが、多くの企業ではそれが欠けています。 Forrester Consulting の調査 は、ビジネスとセキュリティの間には著しい不一致があることを明らかにしています。調査されたセキュリティリーダーの 54% とビジネス責任者の 42% のみが、自社のサイバーセキュリティ戦略が事業目標と完全に、もしくは密接に整合していると回答しています。調査に応じたセキュリティリーダーのうち、サイバーセキュリティ戦略の策定にあたってビジネスリーダーと積極的に話し合うのは全体の半数以下 (47%) です。しかも、事業責任者も 10 人中 4 人が、事業戦略の策定の段階でほとんど、または全くセキュリティリーダーと相談していません。

Forrester Consulting の調査に応じたセキュリティリーダーの 54% とビジネス幹部の 42% のみが、自社のサイバーセキュリティ戦略が事業目標と完全に、もしくは密接に整合していると回答しています。

しかし調査結果によると、ビジネスとセキュリティが整合していれば、確かな成果が得られることが示されています。例えば、ビジネス整合的なセキュリティリーダーの特徴は次のようなものです。

• セキュリティとリスクに関する報告の準備ができている。ビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。
• 自社のセキュリティ戦略の ROI を報告する準備ができている。ビジネス整合的なセキュリティリーダーの大部分 (85%) が、サイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定するメトリクスを使っているのに対して、事後対応型でサイロ思考型のリーダーの場合はわずか 25% です。
• 定められたベンチマーキングプロセスを備えている。ビジネス整合的なセキュリティリーダーの 10 人中 9 人近く (86%) が、競合企業または内部のグループと関連付けされたプロセスの継続的改善を実行し、期待される内容を明確に表現しています。整合的でないリーダーで同様の回答ができたのは、わずか 32% です。

だからといって、ビジネスとの整合を実現する責任が、セキュリティリーダーの肩だけにのしかかると言っているわけではありません。一部の企業では、文化的にサイロ化しやすい傾向があります。そうした企業の場合は、どれだけ努力してもビジネスリーダーとの整合には常に苦労が伴うかもしれません。

自社が整合性のどの段階に位置しているか分からない場合、それを見分ける簡単な方法があります。会社に「ビジネス情報セキュリティオフィサー (BISO)」のような肩書の役員がいる場合は、整合度が成熟した側に位置しています。Forrester の調査によると、ビジネス整合的な企業の大部分 (80%) では、ビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命していますが、整合が進んでいない企業ではその割合は 35% です。

ビジネス整合的なサイバーセキュリティリーダーになる方法

幸運にも、既にビジネスとサイバーセキュリティの整合度が相対的に成熟している企業に従事しているのであれば、相当の努力は必要になるにせよ、ビジネス整合的なセキュリティリーダーになる道は明快です。しかし、整合の成熟度合いが低い企業の場合、その道のりは非常に困難なものとなるでしょう。どんな場合にも当てはまる汎用のアプローチは存在しないので、以下のガイドラインでは大まかに 3 段階の整合の成熟度とそれぞれに合うように調整されたオプションを提案します。

企業の成熟度に応じた、ビジネスステークホルダーとの整合度を向上させる 5 つのステップ

出典 : Tenable、2020 年 8 月

ビジネス整合的なサイバーセキュリティリーダーになるのはマラソンのようなもので、短距離走ではありません。成功するには、技術と同じようにビジネスについても滑らかに話す方法を身に付ける必要があります。しかし、Forrester の調査結果が指摘しているように、「最新のセキュリティ上の脅威には新しいアプローチが必要」です。サイバーセキュリティをビジネスリスクとして扱う準備ができたセキュリティリーダーこそが、将来を担うのです。

将来を担うのは、セキュリティ上の目標をビジネスリスクの理解と整合できるサイバーセキュリティリーダーです。次の 8 つの日々のアクションを実行すれば、達成できます。

前の章では、情報セキュリティリーダーの利用できる技術、プロセス、データ不足が、どのようにサイバーセキュリティとビジネスの慢性的な不一致を悪化させるかについて考察しました。しかし、不一致の中心に横たわる人的要因についても検討しなければ、議論は完結しません。

CISO や他のサイバーセキュリティリーダーは、一連の役員の中でも異色の存在です。技術とビジネスの両方の事柄を、同じように流暢に説明できる必要があります。しかし、経営学修士やそれに近い学歴を持っているかもしれない財務や営業のリーダーなどとは異なり、サイバーセキュリティリーダーの多くは、コンピューターサイエンスなどの技術的なバックグラウンドの出身です。情報セキュリティリーダーは通常、企業の中で技術系の職位を昇ります。この事実は、いよいよ上級管理職や経営幹部の役職に手が届いたときに、即座に不利益になります。

CISO や他のサイバーセキュリティリーダーは、一連の役員の中でも異色の存在です。技術とビジネスの両方の事柄を、同じように流暢に説明できる必要があります。

技術は情報セキュリティリーダーの第一言語、つまり母国語です。そして使用するツールやプロセスは、全て技術の言葉に基づいているので、結果的に母国語で明確に表現することができます。情報セキュリティリーダーのほとんどは、「第二言語としてのビジネス語」をある程度話せますが、一部は乖離したままです。それは、業務に使用する必要のあるツールやフレームワークは、技術以外の世界では簡単に解釈できないからです。

これも毎日の仕事

2003 年に発行された SANS Institute の文書は、「[CISO] が担う責務は、他のどの経営幹部とも異なります。CIS でさえもその例外ではありません」と、この問題についてはっきりと述べており、それは現在でも変わらず当てはまります。以下の項目が、ほとんどの CISO が実行すべき最も重要な責務の一部であるとして詳しく紹介しています。

• 顧客やパートナー、一般の人々からの組織のセキュリティ戦略に関する問い合わせに対して、組織の代表としての役割を果たす。
• ネットワーク攻撃や従業員による情報窃盗の発生源を追跡しながら法執行機関に対応する際に、組織の代表としての役割を果たす。
• セキュリティのニーズと自社の戦略的事業計画のバランスを取り、リスク要因を特定し、両方に対する解決策を決定する。
• 中核的なビジネス要件に悪影響を与えることなく、十分なビジネスアプリケーションの保護を提供する、セキュリティポリシーおよび手順を構築する。
• 顧客やパートナー、一般の人達との協議の可能性を含め、セキュリティ侵害への対応を計画し、試験する。
• セキュリティハードウェアやソフトウェア製品、および外部委託の手配の選定試験、配備、保守点検を監視する。
• ファイヤーウォールデバイスを管理するネットワーク技術者から警備員まで、会社のセキュリティを責務とする従業員を監督する。

単なる職務の範囲だけを考えていると、日常業務のどれを優先して時間を費やすかを考えるのが難しいかもしれません。ほとんどのセキュリティ責任者は、上記の箇条書きで最後の 3 つに記載されている、技術的で手慣れた範囲の職務だけを行いたいと望んでおり、インシデントに対する計画と、発生の可能性を最小限にするよう設計された業務の監視に時間を費やしています。

しかし、楽にできる作業範囲に留まっていては安全な環境は作れません。 委託に基づいて Forrester Consulting が実施した調査 によると、94% の企業が過去 12 か月間に、顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失の少なくともいずれか 1 つを発生させるサイバー攻撃を経験しています。そして、回答者の大部分 (77%) は、今後 2 年間でサイバー攻撃が増加すると予想しています。

さらに調査では、自社のセキュリティチームが持つリスクレベルやセキュリティレベルの定量化能力に、「いくらか自信がある」と回答したビジネスリーダーはわずか 66% であることも判明しました。

ビジネス整合的なセキュリティリーダーになるための 8 つのステップ

何かを変えなければならないのは明らかです。セキュリティリーダーは、ビジネスとの整合性を向上させる方法を見つけなければなりません。それには、日々の努力が必要となります。自分の時間配分にどう優先順位を付けているかに注意して、ビジネスとの整合度確保に集中できるだけの十分な時間が取れるように業務を構成していますか。確認してください。以下は、ビジネス整合的な未来へ向かうことを可能にする、毎日の業務に取り入れることのできる 8 つのプラクティスです。

1. 毎日時間を取って、自社の社外向け文書に目を通す。財務諸表やプレスリリース、ニュース記事、ソーシャルメディア、業界のフォーラムを通じて、自社の役員が何を発信しているのかに注意を向けます。
2. 各部門の役員との打ち合わせを計画し、彼らが日々直面している難題について理解し、信頼関係を構築する。パフォーマンスの測定方法に関する知識を習得します。セキュリティは障害となるわけではなく、むしろビジネスニーズの実現を可能にするものであるということを理解してもらうよう努力する。そうすれば、役員はおそらく戦略策定の早い段階でセキュリティリーダーの関与を求めるようになるだろう。
3. 自社と同じ業種の企業が直面している課題および優先順位について役に立つ知識を蓄積する。事業者団体や他の専門家組織に参加して、業界紙の企業間取引関連の記事を読み、ウェビナーや他の業界イベントに参加します。その結果、実際に役に立つ語彙や重要な視点を得ることができ、セキュリティ戦略を自社独自のビジネスニーズにより適した形で整合させることができる。
4. 同僚の経営幹部レベルの役員との定期的なミーティングを計画し、その時間を利用して、彼らにとって最も深刻な懸念事項を理解する。ビジネス上の幅広い課題を理解することによってのみ、自社に対する真の「リスク」の意味を総合的に理解していくことが可能になります。
5. 四半期毎のビジネスレビューを、最大の学習チャンスとして活用する。他の役員が明確に表現する、戦略上の優先順位や弱点を注意深く聞いて、それらに影響を与えるビジネスの外部要因について考えます。それぞれの役員が、自身の行ったビジネス上の投資に対する効果をどのように証明しているのかに注意を払い、それに応じてセキュリティの ROI メトリクスを調整する方法を見出す。
6. 信頼できるビジネスアドバイザーのネットワークを構築する。ビジネスの各領域からメンターを探し、指導を受けるとともに、コミュニケーション力を磨いてビジネスに精通した人材となるべく、良き相談役になってもらいます。
7. 自社のリスク専門家との関係を構築する。サイバーセキュリティは、それ自体がリスクであると同時に、他のすべてのビジネスリスクにおいてはリスクの要因でもあります。サイバーセキュリティを最重要事項とし続ける全社的リスク管理戦略の策定に、どのように効果的に参加できるか、その方法を探し当てる。
8. 会社全体で生じるサードパーティとの関係に着目する。給与支払プロセスや統合基幹業務システムのベンダーといった、主要な関係については基本的な知識をお持ちかもしれません。しかし、ウェブチームや、自社のオペレーショナルテクノロジーの保守やサービス対応を行うサービスサポート請負業者が使用するツールやプラットフォームに対しては、どれだけの可視性があるのか。

自分の他の職務を効果的に実行するのに加えて、上記すべてを行うための時間を見つけるとなると、非常に困難な作業に思えるかもしれません。すべてを一度に実行できなくても構いません。自分が最も共感できる 1 つか 2 つを選んで、そこから始めましょう。技術的で慣れた領域から脱却し、よりビジネスに整合するための積極的な選択を行うことで、会社の利益となるだけでなく自分自身のキャリアを強化することができ、ビジネスリスク戦略の推進において、貴重で「意見を聞く必要のある存在」になる準備が整います。

ビジネスと整合するために利用できるツール

Tenable のツールを使えば、すべてを可視化し、問題になることを予測し、アタックサーフェス全体のリスク削減に向けて行動することができます。この基本的な質問「会社のセキュリティとリスク度は大丈夫？」に明確に、簡潔に、確実に回答できることは、ビジネス整合的なセキュリティリーダーの日常業務の中核でしょう。

すべてを見通す

脅威環境は常に変化し続けているので、脅威にさらされている箇所に関する明確な知見をもたらす、リアルタイムのダッシュボードを通じた、コンバージドアタックサーフェスの継続的で詳細な評価が必要です。Tenable では、最新のビジネス戦略にパワーを与えるツールやテクノロジー、すなわちクラウド、コンテナ、インフラストラクチャ、オペレーショナルテクノロジー (OT)、ウェブアプリケーションなどに対する可視性を提供しています。これらのツールは同時に、アタックサーフェスを拡大してビジネスリスクを追加するツールでもあります。Tenable を利用することで、すべての資産の状態、例えば脆弱性や不適切な構成、その他のセキュリティの健全性指標などを評価することが可能となります。Tenable のアクティブスキャン、エージェント、パッシブモニタリング、クラウドコネクタは、既知の資産と以前は知られていなかった資産を含む、すべての資産に対する可視性および継続的なビューを提供します。Tenable は、自社のすべてのリスク変動資産を確認し、把握するのに役立つ、業界で最も広範囲にわたる CVE とセキュリティ構成サポートを提供します。

重要事項を予測する

企業は脆弱性に圧倒されています。2019 年には 17,000 件を超える新たな脆弱性が公表されましたが、実際のエクスプロイトの確認が公開されたのは 7% 未満でした。こうした最も危険な脆弱性を、攻撃に悪用される前に特定することが極めて重要です。20 年以上の経験と、継続的に評価された 20 兆を超える脅威、脆弱性、資産のデータポイントを含む 5 ペタバイトのデータレイクから導き出される機械学習アルゴリズムによって、Tenable は企業にとって、そしてビジネス戦略の安全な実行にとって最も重要となる脆弱性、重要資産、リスクの特定を可能にします。Tenable の予測型のアプローチは、既存の脅威と新たに出現する脅威、そしてそのビジネスへの潜在的な影響に基づいて、対応作業に優先順位を付けることを可能にします。その結果、攻撃者が最も悪用する可能性の高い脆弱性に集中し、最も重要なものから修正できます。

リスク削減のために行動する

事後対応型かつサイロ化した一時しのぎのセキュリティ戦略は、自社のサイバーセキュリティの健全性を阻害し、最大のビジネスリスクをもたらす脅威を明確に把握するというセキュリティリーダーの業務を妨げます。セキュリティリーダーが行動を起こしてチーム全体およびビジネス部門のリーダーと効果的にコミュニケーションすることを困難にします。Tenable では、プロセスを改善し、リスクに対処して、自信を持って明確に結果を伝達するために、サイバーリスクとプログラム成熟度の測定メトリクスを提供しています。これらのメトリクスに従うことで、ビジネス変革のスピードと適切なセキュリティ体制の間でバランスがとれる共通言語が得られます。Tenable が提供するリスク変動資産の定量化およびベンチマーキングにより、有効性の経時的変化を社内の部門間で、さらには競合企業と比較することができます。予算編成、リソースの割り当て、プロセスの改善に欠かせないメトリクスです。

Tenable を利用することで、焦点を当てるべき領域を容易に特定し、セキュリティへの投資を最適化することができます。アタックサーフェス全体を可視化することで、アナリストから経営陣までの誰もが、企業のサイバー上の流動資産と露呈を素早く把握し、伝達して、行動を起こして低減させることが可能になります。