CISOは依然として、ビジネスリーダーが切望する指標を使って自分たちのセキュリティプログラムの価値を証明するのに苦労している。
ほとんどの組織にとって、サイバーセキュリティは常にコストセンターとして見なされてきました。ビジネスを推進したり収益を生み出すものではなく、むしろマーケティングや製品開発のようなより重要で収益を生む機能から資金を奪う「必要悪」と経営陣は認識しています。実際にはサイバーセキュリティ予算はこれらのコストのごく一部に過ぎません。
この認識は年々強まるばかりで、CISOが取締役会やCEOへのアクセスを得るようになった今でも変わりません。そのため、複数の調査、たとえばPonemon InstituteとOpen Textによる調査などでは、セキュリティリーダーが「ITセキュリティプログラムのビジネス価値をビジネス側に示すための指標の活用」を最優先事項と考えています。
しかし、ビジネスリーダーが理解できる言語やベンチマークを使って適切な指標を得ることは、多くのサイバーセキュリティリーダー、特に技術的なバックグラウンドを持つCISOにとって簡単なことではありません、と専門家は指摘します。
エンタープライズリスクマネジメント機能を推進する
Michael S. Oberlaender氏(25年の経験を持つCISOで、CISOリーダーシップに関する複数の著書の著者)は、適切なエンタープライズリスクマネジメント(ERM)機能がない組織でIT部門に報告するサイバーセキュリティリーダーは、特に価値を証明するのが難しいと述べています。彼の著作は、ERM機能内でサイバーセキュリティ指標を策定・追跡するために取締役会や経営陣と協働した経験に基づいています。
「私が勤めた複数の企業で、エンタープライズリスクマネジメント機能の構築を支援しなければなりませんでした。その際、ビジネスリーダーの中に強力な味方を見つけ、サイバーリスクをビジネスの優先事項と整合させるように努めました」とOberlaender氏は述べています。「他の場合には、文書化されたリスク登録簿を使い、定期的な取締役会でそれを提示します ― これが私たちが管理・割り当てているリスクの指標であり、まだ決定していないリスクもここにあります。」
基礎的なERMプログラムと、ビジネスの優先事項に指標を合わせることで、サイバーセキュリティ機能の価値を最終的に証明できるようになります。ビジネス用語での有用な指標の例としては、成熟度、コンプライアンス、リスク、予算、ビジネスバリューストリーム、SecDevOps(シフトレフト)導入状況などが挙げられるとOberlaender氏は説明します。
しかし、サイバーセキュリティの専門家はどうやってビジネスにとって重要なことを学ぶのでしょうか?それは自分の快適な領域から抜け出すことです。Oberlaender氏の言葉を借りれば、部門ごとに足を運びビジネスの優先事項を学び、その知識を上位のグループや機能にまとめ、最終的には取締役会にまで届けるのです。
ビジネス機能としてのサイバーセキュリティ
「課題は、セキュリティが誤った組織構造に配置されていることです ― CISOがCIOやCTO、チーフデジタルオフィサーに報告しているケースです」とOberlaender氏は言います。「セキュリティは本質的に技術の問題ではありません。せいぜい10~20%が技術で、残りは人、プロセス、ビジネスです。だからCISOが文化を変えるには何年もかかるのです。」
これは特にサイバーセキュリティ指標に当てはまります。多くの場合、技術的な統計やFUD(恐怖・不確実性・疑念)に頼りすぎており、ビジネスリーダーを混乱させ、サイバーセキュリティ機能の価値を証明するのにほとんど役立っていないと、全米企業取締役協会(NACD)の上級サイバーリスクアドバイザーであるChris Hetner氏は述べています。
「取締役会は疲弊しています。取締役は、その資本が効果的に配分されているのかますます疑問を持っています。しかしCISOは、取締役が関心も理解もない高度に技術的な指標を提示するのです」とHetner氏は説明します。「監査委員会、取締役会、そして経営幹部の間で疲弊が広がっています。長年セキュリティ幹部と仕事をしてきたにもかかわらず、サイバーセキュリティ予算がどこに使われているのか、ましてやこれらの投資がどのようにビジネスリスクや業務上のリスクを低減しているのか、いまだに十分に見えていません。」
Hetner氏によれば、最も規制が厳しくリスク回避的な業界(金融など)を除き、通常はERM機能が欠如しており、これはCISOがセキュリティ指標をビジネス、業務、財務、規制要件および最終的には取締役会との連携に結びつけるための重要なパイプラインだと定義しています。その層がなければ、CISOは独立した島で活動することになり、ビジネスリーダーに適切な指標を提示する能力が損なわれます。まずは、COSO ERMフレームワークがサイバーセキュリティフレームワークとどのように結びつくかを指摘します。
「取締役会は、金利の影響、関税、株価の変動、サプライチェーン問題、収益性、買収など複雑な課題に直面しています。そこにCISOがMITRE Attackフレームワークやパッチ適用指標、NIST成熟度モデルを持ち込むのです」とHetner氏は続けます。「これらの指標は、取締役会が普段レビューする内容と一致していません。」
Hetner氏は、NACD年次サミットで数百人の取締役と交流した直後にCSOの取材に応じ、取締役たちは自分たちの業界グループに影響を与える主要な脅威について簡潔なレポートを求めていると語ります。Hetner氏がベンチマークやインサイトを取締役会やCEOに提示する際には、これらの脅威がビジネス、業務、稼働時間、財務にどのような影響を与えるか、そしてそれらの業界全体の脅威を防ぐ・守るためのコストを明らかにします。
「取締役会は同業他社とのベンチマークを好みます。彼らはベンチマークデータを見ることに慣れています。報酬や競争優位性、委任状開示でそうしているのです。サイバーでも同じことをすべきではないでしょうか?」
指標をリスク許容度と比較する
コンサルティング会社Redpoint Cybersecurity ServicesのVPオペレーション兼サイバーセキュリティ戦略責任者であるNick Nolen氏は、オペレーションのバックグラウンドを持っています。この視点から、取締役会がリスク姿勢により関与するようになっていると見ています。これはビジネスレベルのサイバー成熟度にとって良い兆候だと感じています。
「私たちは安全か?」と尋ねるだけでなく、ビジネスリーダーはサイバーコンポーネントがどのような指標でリスクを測定・定量化し、それらのリスクに対してどのように費用を使っているかを尋ねるようになっています。CISOにとってこれは、NISTのようなフレームワークでの測定や、修正したセキュリティ脆弱性の羅列、平均対応時間の提示を超えるものです。
「代わりに、『これが私たちの潜在的な財務的エクスポージャーです』と言うことができます」とNolen氏は説明します。「つまり、CVEや技術的なスコアではなく、取締役が関心を持つお金の話になるのです。彼らが気にするのは最終的な損益です。」
Nolen氏とそのチームは、サイバーセキュリティプログラムに関連するコストや財務的エクスポージャーを計算する独自のデータ駆動型モデルを使用しています。評価を行った後、ビジネスに最も深刻な影響を与える重要なギャップに注力します。そして、そのリスクを115の内部・外部データソースで計算します。
「ビジネスリーダーは、MFAや他の30のコントロールにどれだけ費用をかけているかには関心がありません。彼らが関心を持つのは、重要なビジネスシステムを守ることで会社の財務的安定性を高めることです」とNolen氏は付け加えます。「だから、リスクの塊を見せる代わりに、コントロールを強化する前後のリスク曲線を示すことができます。あるケースでは、6か月でサイバー損失エクスポージャー全体が40%減少したことを示し、CEOは『リスクが半分近く減ったのか?』と尋ねました。これは強力な指標です。」
ビジネス、リスク、潜在的損失の間で適切な計算を行うことで、重要なビジネスリスクエクスポージャーの財務的価値を示すことができます。たとえば、組織が5,000万ドルのリスクを抱えている場合、サイバー保険でカバーされるのは2,500万ドルだけです。そのうち、組織のリスク許容度はどこにあるのでしょうか?
クライアントが2,500万ドルの未保険リスクを1,000万ドルまで下げる必要がある場合、そのリスクを減らすための対策のコストを特定・計算します。他の場合は、リスク削減に基づくROIや、プログラム全体での資金配分を見ます。たとえば、あるプログラムは投資収益率が120%ですが、別のプログラムは800%なので、そちらが優先されます。
「市場はようやく、恐怖に基づいた反応的な売り方や、CISOがCEOやCFOに理解されない技術用語で話すやり方から脱却しつつあります」とNolen氏は付け加えます。「今やCEOや取締役会は、確率・影響・損失範囲といった慣れ親しんだ指標でビジネスリスクと潜在的エクスポージャーを明確に理解したいと考えており、ビジネスインテリジェンスを活用して価値を生み出そうとしています。」
主要指標の選び方
CISOが自分たちのプログラムの価値を証明したいという思いから、アイデンティティプロバイダーのOktaは、CISOフォーラムの複数のメンバーの意見を取り入れたレポートを作成しました。このレポートは、サイバーセキュリティプログラムのROIをビジネス指標で証明するための実践ガイドであり、主要指標やKPI(重要業績評価指標)の選び方、ステークホルダーとの強い関係の築き方、対象者に合わせたメッセージの調整方法、説得力のあるストーリーの伝え方など、先進的なCISOからの実用的なアドバイスがまとめられています。
最終的に、Oktaのアメリカ地域CSOであるMatt Immler氏は「取締役会が知りたいのは『いつになったら支出を止めて安全だと言えるのか?』ということです」と語ります。その答えは「決してない」かもしれませんが、CISOはそれがビジネスリーダーにとって本当の痛点であることを認識する必要があります。「だからこそこのレポートを作成しました。取締役会や経営層、予算部門に対して、どのようなセキュリティ指標がプログラムの価値を証明できるのかを定量的に示すのは非常に難しいからです。」
