何がいけない? ビジネスとサイバーセキュリティがつながっていない! 何かいいことは? 整合すれば見違えるような結果が得られます。
CISO や CSO、あるいは他の肩書でサイバーセキュリティを統括されている方は、「うちのセキュリティは大丈夫?」と会社の最高執行責任者や役員からよく聞かれることでしょう。答えに困る質問です。
感染症のパンデミック、経済情勢の悪化、リモートワークの一般化などに押されて企業リスクが急速にシフトされつつあるこの時代に、世界各地で蔓延しているサイバー攻撃や脅威は、それぞれのリスクを増幅させるばかりでなく、サイバーセキュリティを役員会で最も注目される議題へと押し上げています。それでありながら、前線に立つ私たちは、山のような課題の対応に日々追われ、会社のサイバーセキュリティの状況をビジネスリーダーに明確に伝えることが難しい状況です。
主要課題をいくつか洗い出してセキュリティリーダーがビジネス側のリーダーと意味のある対話を開始できるように、Tenable は Forrester Consulting にセキュリティ責任者 416 名、ビジネス責任者 425 名を対象としたオンライン調査と、その結果をもとにした中規模から大規模の企業のサイバーセキュリティ戦略と実践の分析を依頼しました。「ビジネス整合的なセキュリティ責任者の台頭」がその報告書です。事業の期待とセキュリティリーダーが直面する現実の不一致が浮き彫りにされています。しかし、同時に、今日のデジタル企業にとって唯一最大の機会に恵まれていることも明らかになりました。それは、CISO の役職を他の執行責任者の役職と同等の地位に引き上げるチャンスです。
将来を担うのはビジネス整合的なセキュリティリーダー
この調査で明らかになったテーマは次の4項目です。
- サイバーセキュリティの脅威は、先行きが不安な世の中で猛威を振るうので、取締役会でも討議・把握しておくべき対象となります。大部分の企業 (94%) は、過去 12 か月間のうちにビジネスに悪影響のある*サイバー攻撃または侵害を受けています。その内約 3 分の 2 (65%) の企業が、攻撃はオペレーショナルテクノロジー (OT) 資産に関わるものであったと報告しています。
- ビジネスリーダーは、自社のサイバーセキュリティ体制の全容を明確に捉えたいと考えていますが、セキュリティ部門は情報の提供に苦戦しています。セキュリティリーダーのわずか 10 人中 4 人しか、「会社のセキュリティとリスク度は大丈夫?」という質問に自信を持って答えられないと回答しています。統合されたデータや関連するビジネスコンテキストの欠如が、サイバーセキュリティに関する適切な意思決定を困難にする要因でもあります。
- 事業のサイバーリスクの理解と管理の間に隔たりがあります。特定のビジネスリスクのコンテキストの枠組みでサイバーセキュリティの影響を捉えているセキュリティ責任者は 50% 未満。ビジネス部門のステークホルダーと討議して、ビジネスニーズと整合したコスト、パフォーマンス、リスク削減の目標を設定すると回答したセキュリティリーダーは、全体のわずか半分 (51%) です。セキュリティ部門のパフォーマンス指標をビジネス部門のステークホルダーと定期的にレビューすると回答したセキュリティリーダーは、全体のわずか 10 人に 4 人 (43%) でした。
- サイバーセキュリティは、ビジネス戦略として進化しなければなりません。これはセキュリティリーダーがアタックサーフェスの可視性を向上させることで初めて達成できることです。自社のセキュリティ部門がアタックサーフェス全体を包括的に理解して評価できていると答えたセキュリティリーダーは全体の半数余りにすぎず、コンテキストを踏まえた脅威メトリクスを使って自社のサイバーリスクを測定していると回答したのは半数未満でした。つまり、企業にはビジネスの重要度と脅威のコンテキストに基づいてサイバーリスクを分析して、修正に優先順位付けをして実行するという能力が不足していることを示しています。
本調査結果が示しているのは、合意済みのビジネスリスクデータをもとに、セキュリティリーダーとビジネスリーダーが共通認識を持つことができれば、実証で裏付けられる大幅な改善がみられるというこです。ビジネス整合的なセキュリティリーダーは、サイロ思考型のリーダーの 8 倍、自社のセキュリティレベルやリスクレベルを自信を持って報告できます。特に、世界的な不況によって企業が経費を見直さなければならない現在の経済情勢で、ビジネス整合的なセキュリティリーダーの 85% がサイバーセキュリティの ROI を追跡してビジネスのパフォーマンスへの影響を測定する指標を有しているのに対して、事後対応型でサイロ思考型のリーダーの場合はわずか 25% であることが注目に値します。
Sentara Healthcare の CISO Dan Bowden 氏が去年、Tenable のインタビューでこのように語っています。「現在の状況で企業のリスク管理に社会の注目が高まっており、あらゆる企業のあらゆるリーダーシップチームと取締役会が、問題修復のストーリーに関わりたいと考えています。セキュリティチームがエクスポージャーについて、本当に行う必要のあることは何かを示す、しっかりしたデータを提供すれば、彼らはそれを理解し、データの意味を把握できます。彼らは、セキュリティチームのストーリーの一部となって、問題解決とリスク管理の改善をサポートしたいと考えています」
「企業のリスク管理の改善に関する社会の注目が高まっている現在の風潮を受けて、あらゆる企業のリーダーシップチームおよび取締役会は皆、問題修復過程の一環に携わりたいと考えています。」 - Sentara Healthcare 社 CISO、Dan Bowden 氏
ビジネスとセキュリティの整合性を達成するのに CISO とその他のセキュリティ、リスク部門のリーダーが必要とするのは、テクノロジー、データ、プロセス、人材の適切な組み合わせです。例えば、ビジネス整合的な企業では、一般的にビジネス情報セキュリティオフィサー (BISO) のような肩書の責任者を任命しています (80%) が、整合が進んでいない企業ではその割合は 35% です。また、ビジネス整合的なセキュリティリーダーは、脆弱性評価プロセスの主要部分の自動化の促進で、事後対応する傾向のあるサイロ思考型のリーダーに比べて 49 から 66 パーセントポイント先に進んでいることも、この調査結果が明らかにしています。
以下の章では、調査によって明らかとなった上述の成果、そして新しい成果について考察し、ビジネスとセキュリティ間の不一致の背後にあるテクノロジーとデータの課題を、Tenable がどう支援して解決できるのかについてアドバイスを提供します。 第 1 章では、「うちのセキュリティは大丈夫?」という質問に回答する際にセキュリティリーダーが直面する、さまざまな課題を掘り下げています。 第 2 章 では、企業が新型コロナウイルス感染拡大問題にどう対処したかを「見出しから切り抜いて」見ていくことで、ビジネスとサイバー間の不整合が具体的にどのような結果を生み出したのかを明確に示します。 第 3 章では、ビジネスリスクに対処するために必要なデータを CISO や他のセキュリティリーダーに提供する上で、既存のサイバーセキュリティメトリクスでは何が不足しているのかを説明します。 第 4 章 と 第 5 章 では、ビジネス整合的なサイバーセキュリティの管理プラクティスが実際どのようなもので、社内でどう構築していけばよいのか、そして現在のセキュリティリーダーの役割をビジネス整合的なサイバーセキュリティリーダーの役割へと転換させるためのヒントや推奨事項について説明します。
- Tenable 最高セキュリティ責任者 Robert Huber *本調査の目的において、「ビジネスに悪影響のある」とは、サイバーアタックまたはセキュリティの侵害によって、次のいずれか 1 つまたは複数が発生する状況を指します。顧客、従業員、その他の機密データの損失、操業の中止、ランサムウェアによって発生した支払、財務上の損失または窃盗、知的財産の窃盗や損失。企業はどのようにしてサイバーリスクを客観的に測定できるか
Cyber Exposure 管理のベストプラクティスを採用することによって、企業は部門間のサイロを従来よりも効果的に削減し、ビジネスチームとセキュリティチームの両方が理解できる、リスクに関する議論のための共通言語を導入できます。企業は Tenable を利用して、現代のアタックサーフェス全体のサイバーリスクを総合的に評価、管理し、最終的に削減できます。Cyber Exposure は、戦略的な意思決定を導き、セキュリティ戦略をビジネスの目標とより良く整合させることを可能にする、社内および競合他社と比較したサイバーリスクの客観的な測定手段を提供します。例えば IT 部門の IT サービスマネジメント (ITSM) や営業部門の顧客関係管理 (CRM) には各々記録システムがあるのと同様に、Tenable はサイバーリスクをビジネスリスクの 1 つとして効果的に管理、測定するための記録システムとして機能できます。