パートナーコンテンツ サイバーリスクが高まり続ける中、多くの組織ではサイバーセキュリティへの投資と実際のリスク低減との間にギャップが生じています。セキュリティ予算の増加、正式なサイバーリスクプログラムの導入、新しいフレームワークの採用にもかかわらず、最近のデータはこれらの取り組みがリスクプロファイルの低減に繋がっていないことを示しています。
Dark Readingによる Qualys サイバーリスクの現状レポート によると、組織の71%がサイバーリスクレベルの上昇(51%)または横ばい(20%)を報告しており、減少を経験しているのはわずか6%です。ほぼ半数(49%)の組織が正式なサイバーリスクプログラムを持っていますが、業界としてはまだ初期段階にあります。特に、これらのプログラムの43%は導入から2年以内、19%はまだ計画段階です。
これらのプログラムの3分の1未満しかビジネス目標と連携しておらず、重大なミスマッチが明らかになっています。これはしばしば、ツールやチームの分断、優先順位の対立、統合された可視性の不足などの課題に起因します。その結果、サイバーリスクがますますビジネスの課題となっているにもかかわらず、多くの組織は依然として技術的な問題として扱っており、断片的かつ非効率的なリスク管理となり、デジタルトランスフォーメーションとAI主導の脅威が加速する中で企業を脆弱にしています。
欠けている指標:ビジネス文脈を取り入れたサイバーリスク管理
リスク管理をビジネス目標に結びつけない限り、組織は「サイバーリスク・モグラ叩き」を続けることになり、戦略的な枠組みなしに脅威に対応し続けることになります。データによると、約5分の1の組織が依然としてCVSSのような単一スコアの脆弱性評価に頼っており、ビジネス運用のニュアンスを無視しています。例えば、CVSSスコア10の脆弱性があればすぐに修正が必要に思えますが、その欠陥が孤立したサーバーにしか存在しない場合、ビジネスにとって重大なリスクとは限りません。リスクは、ビジネスの健全性にどれほど影響を与えるかという文脈でのみ正確に評価できます。
リアクティブでコンプライアンス重視のアプローチや、静的評価、分断されたテレメトリー、CVSSベースの優先順位付けといった従来の一律評価手法は、今日のサイバーリスク環境では効果的ではありません。これらの方法は現実世界での影響を評価できず、ビジネスとの連携にギャップを生じさせます。
経営層はセキュリティの議論の際、脆弱性のリスト以上のものを求めています。彼らは何がリスクにさらされているのか、どのように保護されているのかについての洞察を求めています。これには、業務の中断、規制による罰則、評判の損失といった広範な影響の理解も含まれます。
ここでの重要なポイントは、リスクの優先順位付けは技術的な議論ではなく、ビジネスの議論でなければならないということです。これには、サイバーリスクの議論に非セキュリティ部門(財務、オペレーション、取締役会)を巻き込む必要があります。こうした議論を拡大することで、従来の文脈的リスクスコアリングを超え、資産価値、悪用可能性、ビジネス全体への影響に基づいて優先順位を付けることが可能になります。
資産の可視化と文脈に基づく優先順位付けは、効果的なリスク軽減のために不可欠です。しかし、90%の組織がサイバーリスクの発見を取締役会に報告している一方で、統合されたリスクシナリオを使用しているのはわずか18%、リスクレポートを財務定量化に結びつけているのは14%に過ぎません。ビジネス部門が関与するのは半分以下で、財務部門がサイバーリスクの議論に参加しているのは22%のみです。
その結果、セキュリティチームはリスクデータを分かりやすいビジネスインサイトに変換するのに苦労し、リスク軽減を複雑にするコミュニケーションの壁を生み出しています。
スマートなリスク優先順位付けにおけるROCの役割
リスク管理にビジネス文脈を取り入れるため、先進的なセキュリティチームは Qualysのリスクオペレーションセンター(ROC) のようなモデルを採用しています。このフレームワークは、ビジネスリスクの文脈で検知・評価・軽減を統合し、重大度優先のモデルを、悪用可能性・資産の重要性・ビジネスへの波及効果を重視した文脈的スコアリングに置き換えます。
ROCは、サイバーセキュリティを運用・財務リスクと統合する中央集約型のクロスファンクショナルハブとして機能します。リスク要素を1つのプラットフォームに統合することで、継続的な脅威曝露管理を簡素化し、サイバーリスクを財務的な観点で定量化し、リアルタイムでの優先順位付けと対応をオーケストレーションできます。
セキュリティ、IT、財務、コンプライアンス間の壁を取り払い、ROCは全社的な協力と統一されたリスク軽減アプローチを促進します。QualysのROCは、関係者のための共通言語とリアルタイムインサイトを提供し、各組織の独自のリスクプロファイルと優先順位に合わせたプロアクティブなリスク軽減を可能にします。これにより、技術的な重大度よりもビジネスへの影響を優先した対応が実現します。
ROCフレームワークは、断片的なツールから包括的なリスク軽減戦略への転換を示します。侵害が発生する前の組織のリスク曝露に焦点を当てています。2025年以降、このモデルを採用する組織は、よりレジリエントで資本効率が高く、運用面でも効果的になるでしょう。
サイバーリーダーのための戦略的ポイント
サイバー犯罪者がAIや機械学習を活用してより巧妙な攻撃を仕掛ける中、リスクはかつてないほど高まっています。今日のサイバーリスク環境では、コンプライアンス主導のチェックリストから文脈を考慮した戦略への転換が求められています。企業は、最も目立つリスクではなく、最も重大なリスクを優先しなければなりません。
サイバーリスク管理の未来は、文脈、協働、そしてサイバーセキュリティを中核的なビジネス機能として統合する戦略にあります。これには文化的な変革が必要です。セキュリティリーダーは技術的な専門用語をビジネスに関連したインサイトに置き換え、サイバーセキュリティの現実的な影響を経営層や取締役会に伝え、賛同を得る必要があります。
脅威が進化する中、ビジネスへの影響に基づいてリスクの優先順位を付けるセキュリティリーダーが、最も効果的にリスクを軽減できる立場にあります。ROCのようなフレームワークを活用してセキュリティ運用をビジネスの優先事項と連携させることで、CISOは実際のリスク低減に向けて有効かつ戦略的な意思決定を行うことができます。
Qualysによる寄稿。
