パートナーコンテンツ 何年もの間、セレブたちは自分の身体の一部に莫大な保険金をかけてきました。マライア・キャリーはツアー中、自身の声と脚に7,000万ドルの保険をかけたとTMZは伝えています。また、ロイズ・オブ・ロンドン は、レストラン経営者イーゴン・ロネイの味覚から、ローリング・ストーンズのギタリスト、キース・リチャーズの指(160万ドルで保険がかけられた)に至るまで、幅広いセレブの身体の一部に保険をかけたと報じられています。
これらの契約は、話題性のある見出しを生むだけでなく、当人にとって不可欠な資産に具体的な金銭的価値を与えるものでもあります。俳優や歌手であると同時に、彼らはそれ自体が一つのビジネスでもあります。こうした保険契約は、リスクに対して明確な金額を割り当てているのです。
ITセキュリティチームにとっても、この種の取り組みは有用です。ビジネスの中核部分に対する脅威に具体的なコストを紐づけられれば、攻撃を防ぐ、あるいは被害を軽減するために必要なリソースを正当化できます。サイバーリスク定量化(CRQ)は、CISOが取締役会と議論する際の重要な指標となるだけでなく、ITチームが自分たちの優先順位を決める際にも役立つべきものです。
CRQを実務で正しく機能させるには
しかし、CRQを効果的に導入するには、テクノロジーだけでは不十分です。何を測定するかについてビジネス側と連携することが、具体的な違いを生みます。ガートナーは予測 として、今年までにサイバーセキュリティリーダーの半数が、CRQを用いてエンタープライズリスクに関する意思決定を推進しようとして失敗するとしています。
この背景には、セキュリティリーダーが、時間の経過とともにリスクオペレーションをどのように管理するかを見直す必要があるという点があります。私たちには、サイバー戦争の司令室として機能し、データを集約し、攻撃が成功した後のインシデント対応を行うセキュリティオペレーションセンター(SOC)があります。しかし多くの組織には、リスクが顕在化する前に同様のプロセスを適用する仕組みがありません。この「平時」における潜在的リスクへのアプローチこそが、問題を未然に防ぎ、問題が起こる前に全体的なセキュリティ態勢を改善するのです。
SOCを補完するリスクオペレーションセンター(ROC)を構築することで、攻撃に発展する前のリスクを管理しやすくなります。同時に、ビジネスにとって重大な脅威となるものに集中できるよう、そうした可能性を管理する方法も必要です。その一つのアプローチが「バリュー・アット・リスク(VaR:リスクにさらされている価値)」の検討です。これは、ある脅威がもたらしうる金銭的インパクトと、その脅威が現実化する可能性を示すものです。リスクがビジネスに与える影響を、ビジネス側にも理解しやすい言葉で示す指針となります。
とはいえ、常に新たな問題が発見され、新しい攻撃連鎖の手法が生まれ、過去の問題が以前よりもはるかに危険になることもあります。これら一つひとつに金額を割り当てるのは膨大な作業であり、状況の変化や新たな脅威インテリジェンスの登場により、その金額は数時間で陳腐化してしまうでしょう。単発の推定値を見るのではなく、チームは継続的なリスク管理アプローチを取るべきです。
実務上は、すべてのITツールやセキュリティ製品から情報を集約して一元管理することが必要になります。ただし、従来の「シングルペイン・オブ・グラス」的な考え方ではなく、どれだけの価値がリスクにさらされているのか、そしてそのリスクを許容可能なレベルまで排除または低減するためにどのような手段を講じられるのかについて、継続的に具体的な情報を提供することを目指すべきです。
この一環として、すべてのリスクが同じではないことを認識することが重要です。重大または高リスクの問題に対してCVSSスコアだけを見るのでは不十分です。代わりに、自社の環境におけるリスクを、その潜在的な影響度に基づいて評価しなければなりません。
例えば、中程度の深刻度のソフトウェア脆弱性が2つあるだけなら、最新の「話題の」クリティカルな脆弱性より優先度は低いかもしれません。しかし、それらの問題が連鎖され、自社の収益を生み出すアプリケーションに対する自動攻撃に利用される可能性があるとなれば、金銭的インパクトに基づいてリスクを判断する能力が一気に不可欠なものになります。
取締役会と向き合うCISOやセキュリティリーダーにとって、リスクを金額と影響度で示せることは、自然と彼らの関心と支持を引き出します。潜在的なリスクと、それを低減するために何を行っているのかについて、継続的なインサイトとして提供できれば、なお良いでしょう。これにより、ITセキュリティチームがなぜ特定の行動を取るのか、あるいはどこに追加投資が必要なのかが理解しやすくなります。そうした支援を得るうえでも、リスクオペレーションのアプローチが、リスクにさらされている価値をどのように保護しているかをすでに示せていれば、話はずっと進めやすくなります。
リスクの追跡方法を変えるには、まず自社の主要資産の価値と、それらを保険でカバーするコストを考えてみてください。次に、自社のセキュリティコントロールや予防措置が、そのコストをどのように削減できるかを検討します。ステージ上のセレブの脚ほど目を引く対象ではないかもしれませんが、ビジネスにとって理解しやすく、かつあなたのチームがもたらしている継続的なインパクトを示せる形で、セキュリティの価値を定量化することができます。
Qualys 寄稿。
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/10/protecting_value_risk_role/
