｢どうせうちの責任でしょ?｣ーーセキュリティの足引っ張る“冷笑主義”とは？定性的な評価が招く労働意欲の低下に【数値化】の切り札

そんな問題が起きれば非難され、起きなければ評価されない構造の中で、セキュリティチームは目の前の業務に忙殺されモチベーションを低下させやすい環境になっているわけだ。

しかし多くの場合、インシデントの発生原因はセキュリティチームにあるわけではない。例えば、ルールを守らない従業員や拠点に原因があるケースもあるだろう。つまり現在は、本来問題とすべきところに焦点が当たっていないという課題があるのだ。これを解決するにはサイバーセキュリティの定量化が有効であるという。楢原氏が続ける。

「現在のサイバーセキュリティの世界には定性的なキーワードが多く、あまり定量化、数値化がされていません。数値化されていないということは、不確実性の状況下にあると言えます」

定性的だったサイバーセキュリティを「数値化」する

実際、企業にはサイバーセキュリティに関するKPIやKRIが設定されていないことも多い。現状把握の方法として、いまだにアンケート型の自己申告を行っているケースも散見されるそうだ。楢原氏によれば、「海外拠点にてアンケートをしたものの、いざ担当者が本社から出張して直接確認すると、アンケート回答とは著しく乖離した実態を目にする」ことも頻繁に起きているという。

「定性的なサイバーセキュリティとは『パッチを適用しましょう』といったメッセージで、これに対し『1万台あるPCに対し1カ月以内にパッチ適用率を98%にする』というのが定量的なメッセージになります。

従来は定性的に『パッチを適用しましょう』と呼びかけても、実際には呼びかけに応じず適用していないPCが残っているためにインシデントが発生していました。しかし定量化すれば、パッチ適用が現在は何パーセントあり、なぜ残りのパッチ適用が終わっていないのかといった、具体的な議論と対策が可能になります」