組織のサイバーセキュリティにおける3つの指針

ビジネスにおいてセキュリティとテクノロジーの担当者は、セキュリティ対策の効果の成功度合いを測定する必要があります。ただ、多くの場合、成功の有無よりも失敗の有無に焦点が当てられています。例えば、セキュリティは突破されていないか、罰金を受けていないか、コンプライアンス問題がないか、「脆弱性」（この言葉の意味については検討の余地があると考えます）がないかなど、「していない」かによって定義されています。「していない」ことのリストは、指針の代わりとしてはあまりにも心許ないものです。

幸いなことに、成功を収めたセキュリティ戦略に関しては、失敗がなかったことに囚われる必要はありません。成功を収めた戦略において、セキュリティとリスクの考え方が同じであれば、正しい道を歩んでいることを示す指標となります。

結局のところ、リスクは、ビジネスの成果を左右する組織横断的な概念です。セキュリティ自体がリスクの領域であり、セキュリティへの投資は、リスクの緩和に影響を与えるもの、つまり、予想される損失の確率と影響を軽減するものとよく表現されます。組織の中で、戦術的・運用的セキュリティ機能と戦略的リーダーシップ層の間で、 リスクの成果を中心とした縦割りの調整が明確に行われると、セキュリティ投資と、それらの投資の見返り、セキュリティの針路をどこまで前進させるかを明確に見通すことができるようになります。

以上のことを念頭に置いて、ここでは、対象領域を理解し、成功とは何かを正しく定義し、ビジネスの成果に変換する方法で成功を測定するという、いくつかの合理的な目標をご紹介します。

‍

まず第1に組織のリスクは、この戦いがどのような領域で行われるかを認識し、対策を明確に計画しなければなりません。必然的に相互につながりのあるスペースを分割する様々な方法がありますが、その中で、内部領域、外部領域、テクノロジー領域に注目するのも一つの方法です。

• 内部領域は、リスクに影響を与える従業員やプロセスのような直接の管理下にあるものです。この領域での成功は、文化的なリスクインセンティブとリスクの結果が一致します。
• 外部領域とは、コントロール外の人や活動がリスクに影響を与えるものです。ここでの成功は、自然災害に備える計画から、攻撃者への対応まで多岐に渡ります。
• テクノロジーの領域は、現代ビジネスの基盤であり、内部要因と外部要因の相互作用が頻繁に発生する場所です。テクノロジーは動的なもので、この領域で成功するためには、現在の位置と目指す場所を認識し、内部および外部の力によって中断されても、正しい方向性に沿って少しずつステップを踏んでいくことが重要です。

これらすべての面について計画を立て説明できるようにしないと、何かがうまく行かなくなる可能性が高くなります。（そんな時は往々として最悪の形になるのです。）

‍

第2に、攻撃を防ぐことが成功であると定義するのではなく、成功とはレジリエンスの促進であるというような積極的な定義をしなければならなりません。ここで言うレジリエンスとは何でしょうか？ それは、何かうまくいかなくなった時に重大な影響を及ぼす前に対応することです。

安全な組織とは、脅威を特定した後、最小限の混乱で、リカバリーが迅速で、損失が軽い組織のことと言えます。これらはそれぞれ、リスク軽減という大きな計算の要素となり、投資はその影響に比例して大規模でコモディティ化された保護管理から検知、対応、リカバリーの特定のリジエンス目標まで及ぶようになります。

過去の失敗を見ると、組織の焦点がすべての脅威を防ぐことであったり、コンプライアンスを維持することで満足したりした場合に発生しています。どちらもそれ自体は重要なことですが、前者は達成不可能な目標（重要ではないことも含む）に固執する文化を生み出し、後者は適切ではないことを実施する可能性を持ちます。

‍

第3に、ほぼすべてのビジネス領域において、リスクは確率と影響度の次元で伝えられる損失予測として定量化可能です。セキュリティにはこれがなぜ当てはまらないのでしょうか？

戦略の決定権を持つ者は、セキュリティリスクをビジネスが直面する他のリスクと比較し、ビジネスの成果を最適化するために資本とリソースを配分し、リスク戦略で実現するROIを理解することができます。

重度の脆弱性を持つ50台の「黄色信号」のサーバーと、季節的なハリケーンによるデータセンターの混乱のリスクを比べると、どちらがより問題でしょうか？そして、組織はどのようにして、限られたリソースを行動計画において優先するべきなのでしょうか？多くの権限を持ち、機密データのアクセス権を持つリスクのあるユーザーと、新製品の市場投入までの期間の目標を達成できなかったユーザーのどちらが悪いのでしょうか？また、使用済みのランタイム環境にある数台のパブリック・ウェブ・サーバについてはどうでしょうか？これらは組織の優先事項のどこに当てはまるのでしょうか？比較の共通言語がなければ、最適な優先順位付けを行うことは非常に困難です。ビジネスにとって、その言語は最終的には損失の予想とROIの文脈の中で発生します。

‍

これが、組織における実行可能な指針です。どこでどのようにリスクを抱えているのかを理解し、成功の鍵は予防することに固執するのではなくセキュリティがどのように影響するかを理解し、その洞察を組織のトップに響く形で伝えることです。

すでにこれらの目標を達成している場合は、目標達成に向けて十分な道のりを歩んでいることになります。そうでない場合は、成功「していないこと」に注目するのをやめて、セキュリティの地図と方位磁針となる考えと共に指針を決める時です。弊社のセキュリティコンサルタントと相談されたい場合はぜひご連絡ください。デモもご用意しております。