ビジネス視点のセキュリティ戦略と指標
CISOがセキュリティの戦略をどう立案、推進し、その成果をどのような指標でまとめ、報告すべきか。極端に言えば、従来のセキュリティを中心にした戦略は「脅威の防御」に偏重し、その指標も「被害のある/なし」といったものになり、経営やビジネスとの整合性を明確にしづらかったという。そこで「CISOハンドブック」は、ビジネスでよく用いられる「バランススコアカード(BSC)」や「戦略マップ」を活用したアプローチを紹介している。
まず戦略の立案では、BSCの4つの視点(財務・顧客・業務プロセス・学習)で戦略目標や数値目標、行動計画などを策定し、それらを戦略マップに落とし込む中で、セキュリティの観点から予想されるリスクや損失、対策の目的や対象、採用する対策手法といった要素を組み入れていく。
バランススコアカードを活用した指標や業務のあり方のイメージ(出典:JNSA)
例えば、財務の視点で「売上高○%アップ」、顧客の視点で「新製品によるシェア○%の獲得」、業務プロセスの視点で「○カ月以内の新製品開発」、学習の視点で「優秀な社員の定着率○%以上」としてテレワークを導入する場合、セキュリティのリスクや損失としては「機密情報の漏えい」や「ブランドの損失」などがあり、それらを回避することが目的になる。そして、セキュリティの対象(各種機密情報や従業員など)を明確にし、認証やアクセス制御、暗号化といった対策手法を検討する。
経営会議などで利用するCISOのレポートサンプル(出典:JNSA)
指標や報告についてハンドブックの「CISOダッシュボード」では、継続的に計測可能(可視化)な項目を指標に挙げている。高橋氏によれば、従来は「ウイルス対策ソフトの更新状況」といったコンプライアンスなどの順守状況を指標に用いることが多かったが、経営層へのレポートでは、「攻撃状況」「防御状況」「疑わしい状況」「それ以外」といった項目に分類して、数値や結果、検討すべき内容などをまとめるのが分かりやすいと解説している。
「インシデントワークショップ」のドキュメントは、インシデント対応手順を適切かつ遅滞なく実行するための資料となる。ここでは、対応に当たる関係者(ステークスホルダー)同士のつながり、また、状況調査などに欠かせない「必要なログの確保」といった点が重要になる。
WGの成果について高橋氏は、「これからも議論を重ねる必要があるが、そのためのアジェンダを整理できたのではないか」と話す。今後は、企業導入が進むSaaSやIaaSなどのクラウドを前提した事業環境におけるCISOの取り組みも検討にしたいという。