サイバー攻撃、「恐い」で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには
対処すべき問題については、原因・要因・背景・課題・再発防止策の階層で考察したうえで、具体的な施策を検討する。当然、再発防止策は、組織が実施すべきセキュリティ施策そのものに相当する。
- 原因:事象の直接の原因 (例)脆弱性の対処漏れ
- 要因:原因が顕在化した理由 (例)脆弱性を収集し、適用を促す仕組みがなかった
- 背景:要因が解決できなかった理由 (例)セキュリティを配慮したシステム運用コストがアサインされておらず、誰が責任者であるかも不明瞭だった
- 課題:背景を解決するための方策 (例)脆弱性などのセキュリティ上の問題を一元的に管理する部門が必要であり、各システムにおいては、セキュリティ運用の責任を明確にする必要がある
- 再発防止策:課題を具体化した施策 (例)①CSIRT業務に脆弱性の収集と周知を含むものとし、実施計画を早急に作成する。②システムの構築、運用に関する規程・ガイドラインを見直し、セキュリティに配慮した運用責任者を明確にし、必要な予算の確保を必須事項とする
とくに再発防止策は、技術対策や社内規定の作成にとどまりがちだが、事業計画や組織構成まで踏み込む必要がある。段階を踏んで展開することで、事業に立脚したセキュリティ施策への展開が期待できる。
CISOを経営陣に加えることが重要
セキュリティの話は、ホラーストーリーによく似ている。実態のわからないゴースト(攻撃者)が存在し、ゴーストに遭遇すると恐ろしい災いに巻き込まれる。これを避けるには銀の弾丸、セキュリティソリューションしかないと訴えてくる。
しかし、取り組むべき実体がわからないホラーストーリーを計画に落とし込むのは難しい。実務として取り組むためには、何よりも「恐ろしい災い」を事業リスクとして具体化する必要がある。
セキュリティリスクを指標化する試みは、ROSI(Return On Security investment)、KRI(Key Risk Indicators)、保険数理を取り入れた指標化などの取り組みがあり、どれも興味深い考察と手法が提示されている。
しかし、事業リスクを明らかにしないことには、リターンも投資も試算することはできない。
セキュリティ施策は、何らかの基準に対する遵守性で評価されることが多い。もちろん、重要な取り組みだが、遵守性が有効性を保証しているとは限らない。ここで述べた取り組みを通じて、自身の組織のセキュリティ施策の有効性を評価して、課題を明らかにし、高めていくことができると考えている。
最後になるが、ITが事業基盤となった経営環境では、CISO(セキュリティ責任者)を、経営陣に加えることが重要だ。
CISOが経営の考え方や手順を理解し、事業視点を身に付けるだけではなく、事業計画の立案段階からセキュリティリスクの議論・評価を行うことで事業の手戻りを防ぐことも期待できる。
CISOを経営陣として育成していくことも、ITを事業基盤とする現代の経営課題だろう。
東洋経済Tech×サイバーセキュリティのトップページはこちら
ログインはこちら