Published: 24 August 2022
取締役会は、今ではサイバーセキュリティをビジネス・リスクとして捉えていると回答しているものの、依然としてこれをテクノロジで解決すべき問題として扱っている。CIOは、経営幹部がサイバーセキュリティをビジネス上の意思決定として扱えるよう、「保護レベル合意書」を締結し、サイバーセキュリティ・ガバナンスが機能するようにすべきである。
経営幹部がサイバーセキュリティを十分に理解していないことが原因で、セキュリティへの投資判断を誤る組織が増える恐れがある。経営幹部は、サイバーセキュリティの問題から抜け出すために資金を投じようとしているが、それは間違いである。サイバーセキュリティは今や、大半の組織におけるテクノロジ投資の第1位の領域である。
サイバーセキュリティは、ビジネス上の意思決定であるにもかかわらず、そのように扱われないことが多い。現在の考え方は、セキュリティを魔法のように扱っている。つまり、セキュリティ要員という名の魔法使いが組織を守っていると考えている。問題が発生すれば、その魔法使いを責める。その結果、これまで意思決定や投資において判断を誤ることがあった。組織は、セキュリティへの支出額 (「コスト」) と、ビジネス環境にもたらされるサイバーセキュリティの「価値」を根拠として、ビジネス上の意思決定を下す方向へと動き出さなければならない。
サイバーセキュリティがビジネスにもたらす価値を測定して報告することで、結果として多くのメリットが生じ、サイバーセキュリティへの投資と取締役会への報告の面で変化が生じる。
サイバーセキュリティ支出の増減によるメリットを判断する。
サイバーセキュリティとビジネス成果の整合性を確保する。
株主、顧客、パートナー、規制当局などのステークホルダーに対するディフェンシビリティ (仮にインシデントが発生した場合に、重要なステークホルダーに対し自社のセキュリティ態勢を正当化できること) が生まれる。
回避不可能な攻撃やインシデントを受け入れながらも、ステークホルダーに対するディフェンシビリティを維持する。
ビジネス部門のオーナーのビジネス成果を実現できるサイバーセキュリティ態勢にするために、そのオーナーを直接巻き込む。
Gartnerの顧客は、サイバーセキュリティがビジネス・リスクであるという点で合意している。Gartnerの2022年「取締役の視点」調査 (View From the Board of Directors Survey) では、現在、取締役の88%がサイバーセキュリティをビジネス・リスクとして捉えていることが明らかになった¹。しかし、サイバーセキュリティをビジネス上の意思決定として扱うとは、具体的にはどういうことであろうか。
セキュリティ・ツールへの投資をやめ、成果への投資を開始する必要がある。ビジネス上の意思決定としてのサイバーセキュリティの戦略的ビジョンは、「保護の必要性」と「望ましいビジネス成果」を両立させることである (図1参照)。
テクノロジ推進要因とビジネス推進要因は、サイバーセキュリティ・プログラムへの支出額と保護レベルに影響を与えるはずである。この構図を、ITチームとビジネス・リーダーの間で「保護レベル合意 (PLA: Protection-Level Agreement)」に盛り込むべきである。PLAにおいては、望ましいセキュリティ成果とビジネス成果について、そして、CARE基準 (一貫性 [Consistent] があって適度 [Adequate] かつ妥当 [Reasonable] で効果的 [Effective] の頭文字) を満たす一連の制御によってそれらの成果がどのように対処するかを定める (CARE基準については、を参照されたい)。
経営幹部は、脅威に基づくリスク・レベルの高低の観点から思考するよう訓練されてきた。そのため、意図せざる結果につながったこともある。その理由の1つは、そもそも意思決定に用いるべきではない、コントロール不可能な脅威の要因の推定に依存するからである。例えば、ランサムウェア攻撃を受けるかどうかをコントロールすることはできない。しかし、ランサムウェア攻撃への備えに対する投資をどうするかについては、完全にコントロール可能である。
ほとんどの取締役は、サイバーセキュリティがビジネス上の問題であると認識していると口では言っているものの、依然として、IT部門のしかるべき技術スタッフが処理すべき技術的な問題として見なしている。そして、適切な技術的知識を持ち、サイバー攻撃を回避して新聞沙汰にならないようにしてくれる人材を採用すれば解決できる問題だと考えている。しかし、現実を見れば、一気に目が覚めるであろう。
では、サイバーセキュリティに関する意思決定において、経営幹部は何を根拠とすべきだろうか。PLAは、セキュリティ能力 (すなわち、システムへのパッチ適用に要する日数) の運営成果として表現・測定される。しかし大半の経営幹部は、どの程度のスピード感でシステムにパッチを適用する必要があるかを知らないため、このような運営成果に基づいて経営幹部とPLAを交渉しても、無意味になる。
Gartnerは、この代替手段として、「価値」と「コスト」という概念に着目することを提案する。
CIOとITリーダーがビジネス推進要因とコントロール可能な成果を管理する方向へと移行することで、経営幹部は、望ましい保護レベルを十分に理解できる言葉で明確に示せるようになる。CIOは、幹部クラスの意思決定者がサイバーセキュリティの用語で保護の必要性を表現することを期待すべきではない。むしろ、保護レベルは以下の「ビジネス推進要因」の文脈の中で組み立てられ、その影響を受ける。
ビジネス・オペレーション:組織にとってのリスクを高める機会または意思決定。
規制当局の要求:規制当局が受け入れ可能なPLAとは。
株主:CEOは、取材陣の前に立ち、顧客と株主双方を満足させる組織のセキュリティ決定を正当化できるか。
パートナー:セキュリティが適切ではないという理由で自組織と協業しないパートナー企業の数。
サイバー保険への加入資格:サイバー保険に加入するために必要な要件は何か。サイバー保険への加入要件はより厳格になり、コストは増加傾向にある。
ベンチマーク:他社は何を実施しているか。
観察可能なビジネス・インパクト:セキュリティ・インシデントが原因となったダウンタイムや重大な損失の規模はどの程度か。PLAを強化または緩和することで、この状況をどう変えられるか。
このような観点から必要な保護のレベルを検討することで、経営幹部は理解をさらに深め、PLAを設定でき、投資を通じてこれをコントロールできるようになる。また、脅威のリスクの高低といったあまりに単純な概念ではなく、保護レベルと保護コストを根拠とした構成概念が使われる。サイバーセキュリティは今や、ビジネス上の意思決定である。ほかのあらゆるビジネス上の意思決定や投資と同様に、自らが設定したオペレーション上の数値目標を達せられるかどうかなのである。
図2で示されている横軸の「高い保護」から「低い保護」の間で、自組織をどこに位置付けるかを選択することは、間違いなくビジネス上の意思決定である。サイバーセキュリティに関して組織が行う選択は、顧客、株主、規制当局といった主要なステークホルダーに対してディフェンシブルでなければならない。PLAで構図を決めれば、自らの姿勢を明確にすることができる。
脅威のリスクの高低の観点でサイバーセキュリティの構図を決めるのをやめる。
サイバーセキュリティに関する選択の構図をPLAへと改める。
PLAとは、ビジネス上の意思決定として、規定のコストで、測定可能な保護レベルに投資することを決めるものである。例えば、「100万ドルの費用で30日以内にパッチを適用する」となる。さらに、PLAの根拠は、セキュリティ制御によってもたらされる保護レベルを測定する、成果主導型の評価指標 (ODM: Outcome-Driven Metrics) とすべきである (参照)。
PLAをうまく管理することで、サイバーセキュリティ・ガバナンスが著しく変わる。そして、IT部門以外の幹部 (意思決定者) は、組織が望むセキュリティのレベルと、組織が支出する用意のある金額を中心に、意思決定を下すようになる。PLAはビジネス上の意思決定であり、かつ、リスク選好の具体的な意思表示である。
PLAは、サイバーセキュリティの成否を本質的に変える。PLAで合意した許容範囲内でセキュリティ・インシデントが発生した場合、そのインシデントはコントロール上の失敗ではなく、ビジネス上の意思決定の結果ということになる。
例えば、「30日以内のパッチ適用」というPLAを設定している中で、パッチ提供開始後35日目に未対応の脆弱性が悪用された場合、それはPLA達成の失敗を意味する。それは、組織が運用上、30日以内に全システムへのパッチ適用をできなかったからである。しかし、ある脆弱性がパッチ提供開始後15日目以内に悪用されたとする。その場合、これはビジネス上の意思決定、すなわち、「30日以内のパッチ適用」に投資し、パッチ提供開始後30日以内であれば脆弱性への不正侵入をすべて受け入れる、という決定の結果である。
経営幹部は、あらゆるPLAのODMレベルには明示的に関与しないかもしれないが、自社のビジネス成果と整合したODMとPLAの承認を行い、責任を負うことになる。例えば、製造ラインの経営幹部は、品質保証テストの裏にある技術的詳細のすべてを理解する必要はないが、その幹部は、受け入れ可能な欠陥率を管理する意思決定と投資に対して責任を負っている。
保護レベルの選定において、コストは極めて重要である。CIOは、適切な意思決定をサポートするために、信頼性とディフェンシビリティを兼ね備えたコストを反映させた配分を、十分な厳格性を持って実行する必要がある (参照)。例えば、IT部門は30日以内のパッチ適用を予定コスト100万ドルで行うことに合意したが、PLAを実行するための実コストが年間150万ドルで、30日以内のパッチ適用の目標予算を50万ドル上回るとする。この場合、ビジネス部門は3つの選択肢に直面する。
PLAには、以下のメリットがある。
サイバーセキュリティをビジネス上の意思決定として扱う。
サイバーセキュリティ投資をビジネスの文脈の中に落とし込む。
コストと保護レベルのバランスを取る。
ビジネス部門の意思決定者を巻き込む。
リスク選好とリスク許容度を、測定可能かつ強制力を持たせる形で具体的に表現する。
影響と可能性の推定ではなく、測定可能かつ観察可能な結果に目を向ける。
ビジネスまたはミッションの文脈からセキュリティ投資を表現できるよう支援する。
テクノロジ・リスクのODMは、「組織がどのように保護されているか」ではなく、「組織はどの程度十分に保護されているか」を反映した、ツール/人/プロセスを抽象化したものである。この評価指標は、製品ライン、ビジネス部門、事業部、および特定のビジネス成果をサポートするグループなど、サポート対象となるビジネス成果と整合していなければならない (参照)。
例えば、フィッシング対策トレーニングでのクリック・スルー率は、役割やビジネス部門ごとに測定すべきである。これにより、財務部門のスタッフが、ついクリックしたくなる「猫の動画」でシステムの動作を遅くしていることが分かる。さらに、財務機能とその成果 (四半期決算など) がリスクにさらされていることも示す。その結果、経営幹部は、財務部門のマネージャーに連絡をし、何らかの真の行動変容を起こすことができるようになる。ビジネス成果に整合したセキュリティODMは、セキュリティ投資の指針となる非常に効果的なビジネスの文脈を形成する。
セキュリティの成果を測定し、その結果をビジネスの各部分に整合させる。それさえできれば組織は、セキュリティODMの望ましい数値目標を設定し、目標達成に必要なコストを判断することで、PLAを策定できる。例えば、クリティカルなパッチを、パッチ適用開始後30日目以内に提供するために、脅威/脆弱性マネジメントの状況を積極的に測定し、投資することができる。また、それぞれのビジネス成果をサポートするビジネスの各部分に応じて、異なるパッチ適用のレベルを選択できる。望ましい保護レベルに達していない場合は、PLA達成のためにさらに投資するか、資金的に余力のあるレベルにまでPLAを下方修正するかを選ぶことができる。
フィッシング対策トレーニングをまったく行っていない場合、Gartnerの調査では、大半の組織はクリック・スルー率が20%を超える。フィッシング対策トレーニングを実施しなければ費用が発生せず多少の経費が浮く。しかし、20%以上の従業員がシステムの動作を遅くする「猫の動画」をクリックしてしまうと、そのシステム関連のセキュリティ・インシデントが増え、その修復により大きなコストが発生することになる。
年に1回、トレー二ング用のフィッシング・メールを従業員に送信する資金を投じれば、このクリック・スルー率を10%程度にまで下げられる。これにより、フィッシング関連のセキュリティ・インシデント数やコストの面で有益な効果があるはずである。フィッシング対策トレーニングを継続することで、クリック・スルー率を7%以下にまで下げることもできる。フィッシングによるセキュリティ・インシデントが減り、修復のコストも減るかもしれないが、一方で、組織は、強引すぎるフィッシング対策トレーニングが従業員の満足度や生産性の低下を招き、ビジネスに摩擦を起こすことも認識している。
したがって組織は、フィッシング対策トレーニングのPLAで、クリック・スルー率を10%にまで下げることを決定する。
セキュリティの準備状況は、セキュリティとはまったく関係のないビジネス上の意思決定の影響を常に受けているが、影響が生じていることを認識している組織はほとんどない。例えば、ある組織のIT部門以外の幹部が (この幹部をジェーンと呼ぶことにする)、収益性の高いビジネス部門の1つを運営しているとする。ジェーンは、セキュリティ担当者と一緒に会議に出席しなければならないことにうんざりしており、本当は、自分の仕事に戻らせてもらいたいと考えている。
これは、すべてのセキュリティ担当者、IT担当者、経営幹部にとって現実に確認が必要なことを示している。ジェーンの言うとおりである。ジェーンはセキュリティに関して頭を悩ませるべきではない。一方で、もし組織がサイバーセキュリティをビジネス上の意思決定として扱っているのであれば、セキュリティはジェーンの責任となる。どの程度のセキュリティが必要で、どの程度の予算を使うかを決める権限がジェーンには与えられているはずである。
ジェーンにとっての最大の問題は、ビジネス・オペレーションを支えるシステムにパッチを適用するためにダウンタイムが発生し、それが部門の最終利益に打撃を与えることである。表1に、パッチ適用における一連のODMを示している。各ODMには、事業部、製品ライン、地域など、必要な単位で合意できるPLAがある。「評価指標カテゴリ」は、価値の提供に関わる側面である (備考1参照)。
セキュリティ担当者と経営幹部の間の合意に基づくと、PLAは「30日以内のパッチ適用」である。しかし、観測結果を見ると、ジェーンの部門のシステムへのパッチ適用に実際に要するのは45日である。差異の欄には、パッチ適用の実行状況が、望ましい保護レベルより15日遅れていることが示されている。これは、ジェーンの意思決定の直接的な結果である。ジェーンは、自部門のビジネスを支えるシステムへのパッチ適用のための停止時間を予定に入れないという決定をした。差異を報告することで、ビジネス・リーダーは自分の選択を可視化でき、その上でその選択を変えるかどうかを決める機会を得られる。
ビジネス部門との間でPLAを交渉し、合意する。選択した保護レベルからの変動を測定し、報告する。その上で、この情報に基づいて、改善するための投資の優先順位を設定する。これによって、取締役会に報告されるビジネス上の意思決定の好循環が生まれる。
ジェーンはこのプロセスにあまり関与しなかった。その結果、差異報告書からは、ジェーンの部門の状況がひどいものに映った。取締役会はこの結果に満足しなかった。しかし現在では、経営幹部、取締役会の間でサイバーセキュリティについて話し合い、責任の所在は本来あるべき場所、つまりビジネス上の意思決定者にあるとされている。
PLAをビジネス上の意思決定およびリスク選好の具体的な意思表示として確立する。
PLAの根拠を、成果主導型の評価指標 (ODM) に置く。
PLAを使って、サイバーセキュリティに対する責任の所在を組織のビジネス上の意思決定者に移管する。
Clients can log in to view the entire document.
Analysts:
Gartner research, which includes in-depth proprietary studies, peer and industry best practices, trend analysis and quantitative modeling, enables us to offer innovative approaches that can help you drive stronger, more sustainable business performance.
Our independence as a research firm enables our experts to provide unbiased advice you can trust.
Not only is Gartner research unbiased, it also contains key take-aways and recommendations for impactful next steps.
Our research practices and procedures distill large volumes of data into clear, precise recommendations.
We provide actionable, objective insight to help organizations make smarter, faster decisions to stay ahead of disruption and accelerate growth.
We offer one-on-one guidance tailored to your mission-critical priorities.
We work with you to select the best-fit providers and tools, so you avoid the costly repercussions of a poor decision.
Connect directly with peers to discuss common issues and initiatives and accelerate, validate and solidify your strategy.
Gartner clients can log in to access the full library.
Join your peers for the unveiling of the latest insights at Gartner conferences.
©2022 Gartner, Inc. and/or its affiliates. All rights reserved. Gartner is a registered trademark of Gartner, Inc. and its affiliates. This publication may not be reproduced or distributed in any form without Gartner’s prior written permission. It consists of the opinions of Gartner’s research organization, which should not be construed as statements of fact. While the information contained in this publication has been obtained from sources believed to be reliable, Gartner disclaims all warranties as to the accuracy, completeness or adequacy of such information. Although Gartner research may address legal and financial issues, Gartner does not provide legal or investment advice and its research should not be construed or used as such. Your access and use of this publication are governed by Gartner’s Usage Policy. Gartner prides itself on its reputation for independence and objectivity. Its research is produced independently by its research organization without input or influence from any third party. For further information, see Guiding Principles on Independence and Objectivity.
