CEO、CISOが抱える悩み

 アクセンチュアが、グローバル2000人以上のセキュリティ担当役員(行政機関および私企業)に対し自社のサイバーセキュリティの成熟度を聞き取り調査した「The Accenture Security Index」では、実に71%の経営幹部が、「重要度の高い情報資産を守るため、効率的なセキュリティ投資ができているか」という問いに対し、「できていない」と回答している。

 実際に経営者と議論するなかでも、以下のような問い掛けを受けることが非常に多くなってきた。
① セキュリティにどこまで投資すればよいか?
② 何から手をつければよいか?
③ ビジネスとのバランスをどう取るか?

① どこまで投資すればよいか?
 セキュリティに無限の投資はできない。CISO(Chief Information Security Officer)の大きな役割の一つは、自社が攻撃されうるリスクシナリオを定義し、それぞれのインパクトを定量化し、経営の意思としてどこまで備えを採るかを判断することである。新たな脅威が出てきたというホラーストーリーに日々触れていると、「セキュリティ対策はしょせんイタチごっこである」という無力感を感じることもあると思う。

 しかし、「敵を知り、己を知れば、百戦危うからず」と言うように、自社を狙いうる敵は何者なのか、自社のどの環境にどのような守るべき情報資産が存在しているのか、その備えはどうなっているのか。単純ではあるがこれを明確に整理することで、新たな対策を打つべき箇所と頻度が限定的であることがわかってくるはずだ。

② 何から手をつければよいか?
 CISOは全社大の視点から自社のウィークポイントを見極め、効果的なセキュリティ構造のデザインと投資判断を行う必要がある。アドホックに上がってくる(多くの場合はソリューションベンダーに売り込まれてくる)セキュリティ対策を、判断軸が不明確なまま個別に承認・否認していては、実際に自社のセキュリティ能力を高める結果につながっているのかは不明瞭なままだ。

 そもそも、セキュリティ能力の強化は単にセキュリティツールの導入やその運用といったセキュリティの「オペレーション」に閉じた議論に終始すべきではない。ガバナンス・マネジメント・オペレーションの3レイヤーが連動して実現されるべきである。したがって、全社のビジネスを俯瞰し、3レイヤーで現状のサイバーセキュリティ対策状況を可視化する行いから企画を始めるべきである。

③ ビジネスとのバランスをどう取るか?
 CISOは、セキュリティ単体視点でなく、ビジネス視点を持ってセキュリティをデザインする必要がある。積極的にセキュリティ対策を打っている企業のなかには、ビジネスがさまざまな場面で制限を受け、事業スピード、顧客満足を低下させているケース、あるいは新たな事業の誕生を阻害している事例も多い。

 これを避けるためには、安全性と利便性のバランスを取る経営視点が必要となる。CISOが経営会議に議題を提案することは有事に限られる企業が多いが、平時から安全性と利便性のバランスを判断すべき重要なセキュリティ対策については、CISOとビジネスの役員が対等の立場で、なるべく定量的なインパクト試算に基づいた討議を行うべきである。そのためにはCISOの権限・立場を適切に設定する必要がある。これには、セキュリティを強化することで回避できるリスクだけでなく、そのことでビジネスが窮屈になるリスクもセットで定量化して経営会議に上程するフォーマットを整える必要がある。

※アクセンチュア・セキュリティ・インデックス
https://www.accenture.com/jp-ja/insight-accenture-security-index