ボードにはサイバーメトリクスは不要——リスク信号が必要だ

セキュリティチームは数字の世界に生きている。ダッシュボードには、ブロックされた攻撃数、フィッシングクリック数、発見された脆弱性数、適用されたパッチ数、トリアージされたアラート数、解決されたインシデント数が表示される。過去10年間に、サイバーセキュリティ業界は活動を測定する能力をますます精密に磨いてきた。

専門家は、これらの測定値がボードのリスク統治に役立つかどうかは、これまでのところ一貫性に欠けていると言っている。取締役および経営幹部にとって、セキュリティメトリクスレポートの目的は、努力を記録することではない。曝露、軌跡、および結果を理解することだ。

意思決定者は、リスクが増加しているか減少しているか、コントロールが効果的であるか、予防が失敗した場合に組織が損害を制限できるかどうかを知りたいと考えている。したがって、メトリクスはこれらの質問を明確にする場合に有用である。

「時間は本当に普遍的なメトリクスだ。誰もが時間を理解できるからだ」と、Corelight駐在の戦略家・著者であるRichard BejtlichはCSOに語る。「私たちはどのくらい速く問題を検出し、どのくらい速くそれを封じ込めるか。滞留時間、封じ込め時間。それが僕にとってのすべてだ。」

Bejtlichの主張によると、組織はすべての侵入を防止することはできないが、侵入を認識して封じ込める速度を測定することはできる。この測定値は技術的および非技術的な聴衆に通用する。なぜなら、それは直接的に影響に触れているからだ。検出および封じ込め速度は、回避された事業損失のプロキシとして機能する。

財務リスク対運用上の明確性

Pisces Internationalの最高技術責任者であるMike Hamiltonは、ボード レベルのセキュリティレポートを厳密に受託者責任の観点から考えている。彼の見方では、メトリクスは財務的結果に直接的に対応する限りでのみ重要だ。

「まず第一に、ボードは金銭についてのみ関心がある」とHamiltonはCSOに語る。「彼らは怖いロシアのサイバーバッファオーバーフロー問題などを気にしていない。彼らは金銭を気にしている。」

「CISOは平均検出時間、平均対応時間などのメトリクスに関心があるかもしれないが、ボードは企業価値の保護を担当している。検出速度、脆弱性管理、およびフィッシング復元力は、財務損失、規制リスク、および運用中断を制限するため、より重要だ」と彼は述べている。「彼らが本当に知りたいのは、ビジネスに影響する悪い結果の可能性をどのように低下させているかだ。」

一方、Bejtlichは、ボードが一定期間における侵入の数を含む、運用上根拠のある、統治に関連するさまざまなメトリクスと関わることができると主張している。これらの数字は結果と組み合わせた場合に意味を持つようになる。「それは侵害だったのか、それとも単に結果なしの不正なアクセスだったのか？」Bejtlichは述べている。

「私は、ボードが私が説明しようとしていた何かを処理できないと感じた経験を本当にしたことがない」と彼は付け加えている。「問題になるのは、もしあなたが彼らが背景を持たない技術用語で彼らに話しかけているなら、それは本当に助けにならないだろうということだ。」

計数の誘惑

メトリクスが技術的に複雑ではなく、事業への影響と一致していても、別の問題が生じる。計数されるものは、重要なものを排除することができる。

現在EPSDのアドバイザーである長年のCIOであるWendy Natherは、測定を理解と同等にすることに対して警告している。「ボードにレポートする場合、数えることができないが、とにかくレポートする必要があるものがある」とNatherはCSOに語っている。

彼女はインシデント、ニアミス、および仮定の変化を例として挙げている。「セキュリティプログラムを管理する方法に関する仮定を変更するものはすべて、それを数えることができなくても、ボードに提示する必要がある」とNatherは述べている。

定期的なメトリクスは予測可能性のリズムを作成することができ、その予測可能性はボードメンバーを偽りの安心感に陥らせる可能性がある。「メトリクスは非常に魅力的だ」と彼女は述べている。「それらは、数えることができ、定期的に発生するものに向かうように私たちを導く。」結果は、構造的リスクまたは新しい弱点を隠すデータの着実な流れかもしれない、とNatherは警告している。

メトリクスはまた、組織全体の行動に影響を与える。フィッシングプログラムでは、Natherはエラーを罰するのではなく報告を強化するメトリクスを支持している。「報告を奨励し、人々がそれをしたことを褒めたい」とNatherは述べており、ボードが測定することを選択することが、最終的に組織がどのように行動するかを形成することを強調している。

ビジネスアドバイザリー企業NewportのパートナーであるGeorge Tsantesは、セキュリティプログラムの有効性を証明する負担を強調している。「異なるボードや異なる企業と話をするとき、彼らが実際にやることの代わりに自分自身を証明するのに彼らが費やす時間の量は衝撃的だと思う」とTsantesはCSOに語る。

この力学は、規制環境で特に顕著だ。リスク低減に向けられる可能性のあるリソースを保証作業が消費している。規制監視はまた優先順位を変更する可能性がある。「規制当局はあなたのリストの20番目のアイテムに焦点を合わせるかもしれませんが、彼らがあなたを書き上げた場合、それは今No.1になります」とTsantesは述べている。彼の主張では、ボードはこれらのトレードオフへの可視性を必要としている。成熟したプログラムは、セキュリティの努力がドキュメント生成ではなくリスク削減に向けられるように、可能な限り証明負担を減らしている。

AIがボードレベルのサイバーメトリクスにストレステストを行う方法

サイバーセキュリティ運用の多くの側面を再形成しているにもかかわらず、人工知能の急速な採用はまだ異なるセットのボードレベルのセキュリティメトリクスを生成していない。代わりに、AIは、組織がセキュリティアクティビティを取締役が行動できるリスク信号に変換する方法における長年の弱点を明らかにしている。

ボードはまだAI固有のダッシュボードを求めていないと専門家は述べている。彼らが求めているのは、しばしば黙示的に、AIが曝露を増加させているか、コントロールを弱体化させているか、または組織が物事がうまくいかない場合に損害を制限する能力を変更しているかどうかだ。

「私たちはまだ出力ベースのメトリクスを持っていないと思う」とCorelight のBejtlichは述べている。組織がAIリスクを測定する前に、彼は主張する。彼らはまず基本的なガバナンス信号を確立する必要がある。AIはどこで使用されているか、それはどのくらい広くデプロイされているか、そしてそれが攻撃面を拡大しているか、または運用負担を軽減しているかだ。

その可視性のギャップは、すでに多くのセキュリティリーダーにとって懸念事項だ。「CISOと話をするとき、彼らの最大の懸念は、彼らが企業内で使用されているAIが何であるかを常に見ることができないことだ」とEPSDのNatherは述べている。その認識がなければ、ボードは活動メトリクスで残されており、組織が導入したリスクを理解しているかどうかについての、より根本的な質問を曖昧にしている。

Corelight のCIOであるBernard Brantleyにとって、AIは新しい測定フレームワークを保証するのではなく、既存のものの周りのより厳密な規律が必要である。「それらはあなたの標準的なメトリクスと異なるべきではないと思う」とBrantleyはCSOに語る。実際には、AIは、初期アクセス、横方向の動き、およびデータ流出などの親しみのあるセキュリティの課題を、その規模と速度を増加させることで増幅する。

その増幅はボードレベルのメトリクスが信号する必要があるものを変更する。展開されたAI使用は、カバレッジ要件を増加させ、チームとコントロールを拡張する。同時に、AI駆動のオートメーションは対応タイムラインを圧縮できる。

「私たちは、エージェントを投げかけたために、このカバレッジの一部についてMTTR [平均修復時間]を60%削減することができた」とBrantleyは述べている。ボードのガバナンス信号は、AI自体の存在ではなく、リスク集中、対応能力、およびリソーストレードオフがどのように変化するかだ。

Newportのために、AIの監視は測定ではなく執行のテストだ。「ボードが知る必要があることは、AIの良い使い方と悪い使い方がある、ということだ」とTsantesは述べている。しかし、結果なしの可視性はガバナンスではない。「あなたの資産内でAIエージェントがどこにあるかを知ることさえ難しい」とTsantesは付け加えている。「間違ったAIを使っている人を解雇することができなければ、あなたは本当にそのポリシーに歯を持っていない。」