サイバー攻撃、「恐い」で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには
東洋経済オンライン / 2024年4月20日 8時0分
とくに再発防止策は、技術対策や社内規定の作成にとどまりがちだが、事業計画や組織構成まで踏み込む必要がある。段階を踏んで展開することで、事業に立脚したセキュリティ施策への展開が期待できる。
CISOを経営陣に加えることが重要
セキュリティの話は、ホラーストーリーによく似ている。実態のわからないゴースト(攻撃者)が存在し、ゴーストに遭遇すると恐ろしい災いに巻き込まれる。これを避けるには銀の弾丸、セキュリティソリューションしかないと訴えてくる。
しかし、取り組むべき実体がわからないホラーストーリーを計画に落とし込むのは難しい。実務として取り組むためには、何よりも「恐ろしい災い」を事業リスクとして具体化する必要がある。
セキュリティリスクを指標化する試みは、ROSI(Return On Security investment)、KRI(Key Risk Indicators)、保険数理を取り入れた指標化などの取り組みがあり、どれも興味深い考察と手法が提示されている。
しかし、事業リスクを明らかにしないことには、リターンも投資も試算することはできない。
セキュリティ施策は、何らかの基準に対する遵守性で評価されることが多い。もちろん、重要な取り組みだが、遵守性が有効性を保証しているとは限らない。ここで述べた取り組みを通じて、自身の組織のセキュリティ施策の有効性を評価して、課題を明らかにし、高めていくことができると考えている。
最後になるが、ITが事業基盤となった経営環境では、CISO(セキュリティ責任者)を、経営陣に加えることが重要だ。
CISOが経営の考え方や手順を理解し、事業視点を身に付けるだけではなく、事業計画の立案段階からセキュリティリスクの議論・評価を行うことで事業の手戻りを防ぐことも期待できる。
CISOを経営陣として育成していくことも、ITを事業基盤とする現代の経営課題だろう。
高橋 正和:Preferred Networks セキュリティアーキテクト
外部リンク
この記事に関連するニュース
-
Netskope調査で、CISOがより前向きにリスクと向き合う意識が明らかに
PR TIMES / 2024年6月25日 13時45分
-
Fastly 調査:日本企業の約半数が CISO を採用しているものの、その役割はいまだに広く誤解されていることが明らかに
PR TIMES / 2024年6月20日 12時45分
-
「電気事業者向けサイバーセキュリティ対策支援サービス」の提供を開始
PR TIMES / 2024年6月20日 11時45分
-
【東芝】「東芝グループ サイバーセキュリティ報告書2024」の発行について
Digital PR Platform / 2024年6月18日 18時1分
-
プルーフポイント、年次レポート「2024 Voice of the CISO」の日本語版を発表:CISOの4分の3がサイバーセキュリティの主要リスクはヒューマンエラーと認識
PR TIMES / 2024年6月11日 12時45分
ランキング
-
1ラーメン業界の革命児「一蘭」幹部に聞く 最高益をたたき出した「3つの要因」
ITmedia ビジネスオンライン / 2024年7月6日 11時25分
-
2株高なのに円安の恩恵が広がらないのはなぜか 岸田政権の大きな政策ミスを教訓にできるか
東洋経済オンライン / 2024年7月6日 9時0分
-
3「楽天ブラックカード」これまで招待のみだったが、申込受付を開始 特典は?
ITmedia ビジネスオンライン / 2024年7月5日 13時7分
-
4愛・地球博から約20年“夢の道路の続き”ついに動く 「名古屋瀬戸道路の“側道”」東名の南側へ
乗りものニュース / 2024年7月6日 8時12分
-
5日本の中古車相場が「ロシア」の影響で下落!? 厳しい「輸出規制」のなかで「売れている」クルマも? 意外な“ロシア行き日本車”とは
くるまのニュース / 2024年7月6日 12時10分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)