｢どうせうちの責任でしょ?｣ーーセキュリティの足引っ張る“冷笑主義”とは？定性的な評価が招く労働意欲の低下に【数値化】の切り札

サイバーセキュリティの定量化例としては、IT資産や脆弱性の状態、導入すると決めたライセンスの導入率、ルールポリシーの適用状態などがあげられる。すなわち、サイバーセキュリティの定量化はポリシールールやセキュリティオペレーションを数値化してKPI（重要パフォーマンス指標）やKRI（重要リスク指標）に落とし込み、それを物差しとして評価や対策を行っていく取り組みといえよう。

ただし、これらは非常に大変な作業で、リアルタイム性やハイブリッド環境の網羅性を満たす、正確で信頼性のあるデータが必要になる。この要請に応えることは技術的に非常に困難なものではあるが、このニーズは決してIT部門やセキュリティチームに限ったものではない。

経営層や上層部のマネジメントに使える『ガードレール』

正確で信頼性のあるデータに基づく定量化は、経営層がサイバーセキュリティをマネジメントする上でも大きな役割を果たす。

楢原盛史（ならはら・もりふみ）／タニウム Chief IT Architect CISSP、公認情報システム監査人。チーフITアーキテクトとして、大規模組織のエンドポイントセキュリティの高度化、最適化に向けた支援に取り組む。トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社でセキュリティ営業、コンサルタント、アーキテクト、エバンジェリストなど幅広いポジションを歴任。 デジタル庁の次世代セキュリティ・アーキテクチャ検討会委員や、IPA 10大脅威の選考会メンバーに選出され、セキュリティに関する社外活動にも精力的に取り組む（写真はタニウム提供）

タニウムは、IT資産の状況をリアルタイムで把握できるアーキテクチャーを特許として保有しており、全てのエンドポイントの詳細を即時に数値で可視化するプラットフォームを実現させているため、経営層の課題やニーズにも詳しい。

「経営者や上層部は忙しく、かつセキュリティの重要性はわかっていても専門家ではありません。そこで『数値化して我々が理解できるようにしてほしい』との要望が多く寄せられていました。そのためには定量化が必要となります。多くのグローバル企業では『ガードレール』という考え方を採用しています。

さまざまなセキュリティに対し、ルールを100個も200個も作って対応しようとしても、誰も守らず形骸化してしまいます。そこで、本社から見て絶対に超えてはならない“ガードレール”となる基準を作り、『この中では、どうぞ自由に運転してください。ただし、超えることは絶対に許しません』という統制の方法が、ガードレールの考え方です」