サイバー攻撃､｢恐い｣で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには

サイバーセキュリティ（以下、セキュリティ）リスクへの対応は、事業計画と同じく「未知の未来に向けた取り組み」だが特性は異なる。

事業計画は、簡単に言うと、財務的な指標を使うことで計画の適切性を試算し、実績を評価する手法が確立している。指標化で損益分岐点を明らかにし、事業ごとに投資対効果を分析することもできる。つまり、計画の評価手法と、実績の評価手法が確立している。

一方、セキュリティリスクは、為替変動などの連続性のあるリスクと異なり、不連続なリスクで、既存の数値の増減に基づいた試算はできない。

そのため想定損害額×想定発生確率を使って試算するが、起きなかった事件や事故の損害を売り上げや利益に相当するような実績として表すことはできない。

つまり、セキュリティリスクは、財務指標を使って計測できる事業計画と同じ手法で扱うことは本質的に無理がある。

事業の文脈からセキュリティリスクを捉えて

そもそも、事業計画と無関係にセキュリティリスクを評価することに無理がある。そのため、事業の文脈からセキュリティリスクを捉える必要がある。

まず、実際に起きたセキュリティ事件・事故の報道に基づいて、想定されるサイバー攻撃のシナリオを作成し、ケーススタディを行うことが有効だ。

シナリオに基づいて、セキュリティ担当やIT担当を中心に「①防御できるか」、「②検知・対処できるか」を評価する。

防御ができず、適切な対処ができないシナリオが事業上の脅威に相当するため、事業の担当者を中心に該当するシナリオの「㋐事業リスク」を評価し、「㋑関係者の役割」を明らかにしていく。