継続的・戦略的なサイバーセキュリティ強化のアプローチ(1)

 それでは、今日の企業にとって実践的なサイバーセキュリティ強化のアプローチとはどのようなものか。

 デジタル時代においては、継続的に変化するビジネスモデルやテクノロジー環境に対し、サイバーセキュリティ能力の随時適応が求められる。だからと言って、個別施策の積み重ねを発生ベースで続けていても効率的なサイバーセキュリティ投資にはつながらない。解としては、①「サイバーセキュリティ業務」の定義、②自社リスクシナリオの定義、③サイバーセキュリティ強化ポイントの導出、④個別施策実施の構造・順番からなるアプローチである。

写真を拡大
出所:アクセンチュア

■「サイバーセキュリティ業務」の定義
 アクセンチュア・ストラテジーでは、サイバーセキュリティ業務の全体像を図のようにフレームワークとして整理している。

写真を拡大
出所:アクセンチュア

 どの部門が受け持つかはさておき、企業全体としてこれらの機能がどこかにあるかを特定し、不足があればその機能自体を新たに立ち上げる必要がある。多くの場合、⑥セキュリティオペレーションはあるが、ガバナンス・マネジメントレイヤーになるほど機能の空白が発見される。このフレームワークを通して企業は組織の特性に見合った必要十分なセキュリティ機能を3レイヤー(ガバナンス・マネジメント・オペレーション)で整合性を持って実装可能になる。

■自社リスクシナリオの定義
 企業は発生しうるすべてのサイバー攻撃の可能性に対し対策を打つことはできない。自社を取り巻く内外環境と重要な事業に必須の資産を明らかにし、関連するサイバーセキュリティリスクを正しく把握することで、自組織のリスク管理における優先順位を見極める必要がある。

写真を拡大
出所:アクセンチュア