Infosecurity Europe 2026に登壇したセキュリティリーダーのパネルによると、サイバーセキュリティリスクについて取締役会に助言する最善の方法は、金銭的な観点に焦点を当て、サイバーリスク管理への賢明な取り組みが組織にとって長期的に優れた投資となることを示すことだといいます。
サイバーエクスポージャーの測定は容易ではありません。しかし、サイバーリスク定量化(CRQ)とデータを活用し、サイバーセキュリティの脅威と脆弱性、優先すべき重要な課題、そしてサイバー攻撃が組織にもたらしうる財務的コストを示すことが、取締役会の支持を得るための最善策です。
多国籍石油・ガス会社のBPは、数十年にわたり事業全体でリスク管理を行ってきましたが、近年はその手法をサイバーセキュリティ分野にも適用し始めています。
BPのデジタルリスク管理責任者であるジェームズ・ラッセル氏は、Infosecurity Europe Deep Dive Stageでの対談の中で、この戦略において重要なのは、生成されたデータとその意味をマネージャーが容易に理解できるようにすることだと述べました。
「セキュリティの領域を超えたつながりが必要です。しかし、サイバーリスクをビジネスリーダーにとって意味のある形で伝えるには、どうすればよいのでしょうか?」とラッセル氏は語りました。その答えは、リスクを適切に管理しなかった場合のコストという観点から定量化することだと同氏は続けました。
リスクをドル換算で測定すべき理由
BPのラッセル氏は、「リスクをドル価値に換算することで、より現実感が生まれます。大規模な組織であればなおさらです。リスクの測定は複雑になりがちですが、金額であれば誰もが理解できます」と述べました。
NatWest Groupでサイバーセキュリティ担当マネージングディレクターを務めるサイラス・バートレット氏も、サイバーセキュリティリスクの定量化を目指す組織にとって取締役会の賛同を得ることが不可欠だという点に同意し、まさにその観点から同行が取り組みの計画を策定したと説明しました。
「取締役会向け報告をどのように改善するか、社内で議論を重ねていました」と対談で明かした同氏は、「十分なデータがあれば、適切なモデリングによってリスクの実態を定量化できると確信していました」と続けました。
「そこで最初から取締役会向け報告を目標に設定し、そこから逆算して計画を組み立てました」と同氏は付け加えました。
この取り組みは課題を伴うものでもありました。特に、分析するデータの質と量、ひいてはリスクレポートの結果が正確であるかどうかを確認する点で困難がありました。
「銀行が信用リスクを測定する方法を見ると、数十年分の膨大なデータがあります。しかしサイバーセキュリティにはそれがありません。さらにサイバー攻撃の複雑さゆえに、『ミスがないと確信できるのか』と問われます」とバートレット氏は説明しました。
「そこで私たちが行ったことの一つは、モデルに前提条件を組み込むことです。『この推定が10%ずれていたら?』あるいは『新たな脆弱性によって攻撃者が境界を突破したら?』というシナリオを想定しています」
時間の経過とともにデータが蓄積されるほど、モデルの精度は向上していきます。リスクに関する良質なデータが定量化に貢献できる重要な成果の一つが「ドル換算による貢献度」です。適切なサイバーリスク管理が将来の侵害を防ぎ、あるいは被害を抑制することで、組織のコスト削減につながることを示すものです。
ラッセル氏は、調査結果が実際のデータ統計に基づいているため、直感や主観的な意見に頼った意思決定を排除する助けになると指摘しました。
しかし、リスクを提示する担当者は、共有する情報が取締役会のニーズに基づいたものであることを確認しなければなりません。データが複雑すぎて理解できなければ、取締役会はそれを活用することができないからです。
「最大の課題は、ステークホルダーへの情報量の問題です。CRQの専門用語をリスク管理に役立つ共通言語に翻訳することが求められます。CRQはあくまでも要件を支援する手段であるべきです」とラッセル氏は述べました。
翻訳元: https://www.infosecurity-magazine.com/news/infosecurity-europe-board-cyber/
