サイバー攻撃､｢恐い｣で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには

とくに再発防止策は、技術対策や社内規定の作成にとどまりがちだが、事業計画や組織構成まで踏み込む必要がある。段階を踏んで展開することで、事業に立脚したセキュリティ施策への展開が期待できる。

CISOを経営陣に加えることが重要

セキュリティの話は、ホラーストーリーによく似ている。実態のわからないゴースト（攻撃者）が存在し、ゴーストに遭遇すると恐ろしい災いに巻き込まれる。これを避けるには銀の弾丸、セキュリティソリューションしかないと訴えてくる。

しかし、取り組むべき実体がわからないホラーストーリーを計画に落とし込むのは難しい。実務として取り組むためには、何よりも「恐ろしい災い」を事業リスクとして具体化する必要がある。

セキュリティリスクを指標化する試みは、ROSI（Return On Security investment）、KRI（Key Risk Indicators）、保険数理を取り入れた指標化などの取り組みがあり、どれも興味深い考察と手法が提示されている。

しかし、事業リスクを明らかにしないことには、リターンも投資も試算することはできない。

セキュリティ施策は、何らかの基準に対する遵守性で評価されることが多い。もちろん、重要な取り組みだが、遵守性が有効性を保証しているとは限らない。ここで述べた取り組みを通じて、自身の組織のセキュリティ施策の有効性を評価して、課題を明らかにし、高めていくことができると考えている。

最後になるが、ITが事業基盤となった経営環境では、CISO（セキュリティ責任者）を、経営陣に加えることが重要だ。

CISOが経営の考え方や手順を理解し、事業視点を身に付けるだけではなく、事業計画の立案段階からセキュリティリスクの議論・評価を行うことで事業の手戻りを防ぐことも期待できる。

CISOを経営陣として育成していくことも、ITを事業基盤とする現代の経営課題だろう。

高橋 正和：Preferred Networks セキュリティアーキテクト