WithSecure SPHERE

CISOの仕事に役立つ「セキュリティアウトカムキャンバス」--ウィズセキュア「SPHERE23」

河部恭紀 (編集部)

2023-05-26 09:00

 フィンランドのセキュリティ企業WithSecureは現地時間5月24日、自社カンファレンス「SPHERE23」を開催した。最高情報セキュリティ責任者(CISO)のChristine Bejerasco氏は、「セキュリティアウトカムキャンバス」について講演した。

 まず同氏は、CISOという役職について話を始めた。「会場にいる皆さんの中には役職がCISOという人も多いと思う」と語り、セキュリティ担当のディレクターやバイスプレジデントという肩書きであっても、その役割がサイバー攻撃から組織を守ることや、組織が安全を自ら確保できるようにすることならば、CISOの役割を担っていることになるとした。

 「実際には何でもありという状態」とBejerasco氏は述べ、その背景には、サイバーセキュリティが分野として未熟で、いまだに広く理解されておらず、CISOという役職もかなり新しいものということを挙げた。そして、その未熟さ故に、どのような言葉や用語を使って話をすべきかが課題となっているという。

Christine Bejerasco氏
Christine Bejerasco氏

 同氏は「脅威に対抗するソリューションに使われる技術やサービスの用語を使いがちであるが、それでは技術的過ぎてかえって経営陣を不安にさせる」といい、そのためによりビジネス寄りの言葉を使う傾向もある。

 経営陣にも組織内のリスク管理に目を向けてもらう必要があることを考えると、「理にかなった動きだ」とBejerasco氏。CISOは、組織のさまざまなレイヤーを見てまわり、理解を深め、サイバーセキュリティプログラムが健全であることを確認する必要がある。その実現には、さまざまなレイヤーに対応するモデルを作成しなければならない。

 非常時に向けて、経営者が理解できる言葉、求める情報、行動を起こすための出発点を一つにまとめ、いつでも振り返り、理解を深められるようにしておけば、CISOたちにとって有益だとし、セキュリティアウトカムキャンバスのバージョン1.0を紹介した。

セキュリティアウトカムキャンバス
セキュリティアウトカムキャンバス

 セキュリティアウトカムキャンバスは、ビジネスの構造や仕組みなどを整理・可視化するビジネスモデルキャンバスを参考にしており、経営陣には馴染みやすいものになっている。

 セキュリティアウトカムキャンバスには7つの領域があり、最初の領域は「ビジネス上の成果(ビジネスアウトカム)」。ビジネスアウトカムは、組織そのものと、その組織が達成しようとしていることに帰結する。戦略である場合もあるが、戦略は実際には短命に終わることもある。

 それに対して、実際のビジネスアウトカムは、組織の寿命の中でより長いライフサイクルを経る可能性がある。「そのため、戦略だけでなく、組織が本当に達成しようとしていることについて、幹部やステークホルダーとも協力して理解する必要がある」(Bejerasco氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]