サイバー攻撃、「恐い」で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには
東洋経済オンライン / 2024年4月20日 8時0分
とくに再発防止策は、技術対策や社内規定の作成にとどまりがちだが、事業計画や組織構成まで踏み込む必要がある。段階を踏んで展開することで、事業に立脚したセキュリティ施策への展開が期待できる。
CISOを経営陣に加えることが重要
セキュリティの話は、ホラーストーリーによく似ている。実態のわからないゴースト(攻撃者)が存在し、ゴーストに遭遇すると恐ろしい災いに巻き込まれる。これを避けるには銀の弾丸、セキュリティソリューションしかないと訴えてくる。
しかし、取り組むべき実体がわからないホラーストーリーを計画に落とし込むのは難しい。実務として取り組むためには、何よりも「恐ろしい災い」を事業リスクとして具体化する必要がある。
セキュリティリスクを指標化する試みは、ROSI(Return On Security investment)、KRI(Key Risk Indicators)、保険数理を取り入れた指標化などの取り組みがあり、どれも興味深い考察と手法が提示されている。
しかし、事業リスクを明らかにしないことには、リターンも投資も試算することはできない。
セキュリティ施策は、何らかの基準に対する遵守性で評価されることが多い。もちろん、重要な取り組みだが、遵守性が有効性を保証しているとは限らない。ここで述べた取り組みを通じて、自身の組織のセキュリティ施策の有効性を評価して、課題を明らかにし、高めていくことができると考えている。
最後になるが、ITが事業基盤となった経営環境では、CISO(セキュリティ責任者)を、経営陣に加えることが重要だ。
CISOが経営の考え方や手順を理解し、事業視点を身に付けるだけではなく、事業計画の立案段階からセキュリティリスクの議論・評価を行うことで事業の手戻りを防ぐことも期待できる。
CISOを経営陣として育成していくことも、ITを事業基盤とする現代の経営課題だろう。
高橋 正和:Preferred Networks セキュリティアーキテクト
外部リンク
この記事に関連するニュース
-
クラウドストライクとAWS、クラウドセキュリティとAIの変革に向けた戦略的提携の拡大を発表
PR TIMES / 2024年5月14日 15時45分
-
アクセリア、Webセキュリティ診断とペネトレーションテストサービスを提供開始
PR TIMES / 2024年5月14日 12時15分
-
SecurityScorecard、CISO向けにサイバー脅威の傾向を解説した「2024 S&P 500 サイバー脅威レポート」を発表-S&P 500企業の21%が2023年に情報漏えいの被害に-
Digital PR Platform / 2024年4月26日 10時25分
-
内閣府、国立研究開発法人情報通信研究機構、西村あさひ法律事務所による単独講演! @CISO Japan Summit 2024
PR TIMES / 2024年4月25日 11時15分
-
クラウド型Web診断ツール「AeyeScan」、新たに脆弱性診断をマネジメントするプラットフォームを提供
PR TIMES / 2024年4月18日 10時45分
ランキング
-
1クルマの価格はまだまだ上がる? 下がる要素がとても少ないワケ
ITmedia ビジネスオンライン / 2024年5月17日 6時5分
-
2EVが売れると自転車が爆発する...EV大国の中国で次々に明らかになる落とし穴
ニューズウィーク日本版 / 2024年5月17日 12時5分
-
3《告発スクープ》周富徳さんの弟・周富輝氏の中華料理店で長年にわたる食品偽装が発覚、元従業員が明かした調理場の実態
NEWSポストセブン / 2024年5月17日 11時15分
-
4インドネシアで3億円過大計上か トヨタ系部品メーカー
共同通信 / 2024年5月16日 22時32分
-
5キャベツ高騰 1玉1000円!? スーパーからキャベツ消えた、春キャベツ一体どこへ?【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年5月16日 21時20分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください