Gartner流 経営者を納得させるセキュリティリーダーの交渉術：Cybersecurity Dive

サイバーセキュリティへの投資判断を的確に行うためには、財務への影響および効率性、リスク管理に焦点を当てることが重要だ。Gartner流の経営者を納得させるセキュリティリーダーの交渉術を紹介しよう。

[Pete Shoard，Cybersecurity Dive]

　SOCのリーダーは、取締役会のメンバーやCEO、CIO（最高情報責任者）、CRO（最高収益責任者）といった経営陣に対して有用なセキュリティ指標を提示することにしばしば苦労している。セキュリティのリーダーは（注1）、SOCの価値とその影響を経営陣に対して効果的に伝えることを優先すべきであり、その起点となるのは、ビジネス目標と結び付いたSOC関連指標の確立だ。Gartner流の経営者を納得させるSOCの提案方法を紹介しよう。

　この文章を書いているピート・ショード氏は、調査企業であるGartnerのサイバーセキュリティ脅威検知および対応チームに所属するバイスプレジデントアナリストであり、SOCに関連する分野の分析を担当している。

Gartner流　経営者を納得させるセキュリティリーダーの交渉術

　適切に構築された指標のカタログは、SOCが組織全体の成功に貢献していることを示し、その価値を高めるための強力な手段となる。セキュリティ運用に関する指標を経営陣にとって意味のあるものにするためには、まずそれらの指標を組織の目標やミッションクリティカルな目的と整合させることが極めて重要だ。

　指標を効果的かつ整合性のあるものにするためには、技術的なセキュリティ運用と組織の戦略的目標の双方の深い理解が求められる。指標は、潜在的または実際の財務的影響、時間の効率性、戦略的リスク管理といった文脈に位置付けられるべきだろう。

　経営陣は通常、技術的なサイバーセキュリティの専門知識を持ち合わせていない（注2）。そのため、従来のSOCの指標が経営陣に響かないケースが多かった。より優れたアプローチである多層的な指標は、技術的な知見と戦略的な知見の両方を組み合わせて、ビジネス側への文脈を提供するものである。

　多層的な指標の構築は、経営陣のように技術的な専門知識を持たない関係者が、ビジネス目標とセキュリティ運用のパフォーマンスとを直接結び付けて理解できるようにする最も効果的な方法だ。

　第1層の知見は、ビジネスリスクの低減といったビジネスに直結する目的に直接関わるものだ。

　第2層の指標は通常、成果に基づく指標（ODM）で構成されている。この層は、保護レベルの合意に向けた進捗（しんちょく）を示すもので、セキュリティチームが実現したい保護レベルに対して予算を確保するために経営層と交渉できるようになる。

　より下位の層の指標は主に運用的なものであり、セキュリティ運用チームが日々の管理業務やパフォーマンス重視のタスクにおける改善を実行するために役立つ。

　もう一つのベストプラクティス（最善の方法）は、上級経営層がセキュリティチームに投げかける可能性のある現実的な質問や、投資家向けの会議などで挙がる可能性のある質問を考慮することだ。以下に幾つかの例を挙げる。

• 顧客データが盗まれる可能性はどの程度あるのか
• ランサムウェアによるインシデントに対して、十分な対応範囲と防御体制が整っているかどうか
• 過去6カ月間で自社のセキュリティ体制はどのように改善されたか。また、同業他社と比較して自社の状況はどうか

　これらの質問を活用して、文脈を提供する上で最も関連性の高いSOCの運用指標を特定できる。例えば、現在のセキュリティ技術への投資水準、セキュリティ監視のカバレッジ、重要システムに対するインシデント対応プロセス（またはそれが存在しないこと）に関する情報を検討すると良い。こうした知見は、それぞれのセキュリティ体制をいかに改善できるかという方向性も示してくれる。これは、セキュリティ上の問題をビジネス主導の影響と結び付けるものだ。

　レポートにおける幾つかの有用な運用レベルの指標には、監視ツールが重要なデータソースを保護している割合や誤検出率の減少の進捗（しんちょく）、検出されたサイバーインシデントの発生件数の傾向などが含まれる。

セキュリティ指標を説得力のある形で提示する

　サイバーインシデントの結果を経営陣に提示する際には、全体的なビジネス戦略への影響に焦点を当て、技術的な詳細には立ち入らないことが極めて重要である。

　例えばSOCのリーダーはアラートの件数やその対応にかかった時間に関心を持つかもしれないが、経営陣が重視するのは、より広範なビジネスへの影響である。経営陣が関心を寄せるのは、こうしたセキュリティインシデントが企業の財務状況や評判、業務遂行能力にどのような影響を及ぼすかという点だ。技術的なデータをビジネスに関連した洞察へと結び付けることで、セキュリティ対策をビジネス目標に最も効果的にマッピングできるのだ。

　財務への影響は、特にCFO（最高財務責任者）の主要な関心事である。なぜなら、それは企業の最終的な利益や株主価値に直接影響を及ぼすからだ。

　財務面の懸念にとどまらず、取締役会から各事業部門のリーダーに至るまで、経営陣は顧客へのサービス提供の継続や、組織の評判の毀損を防ぐことにも強い関心を持っている。つまりサイバーセキュリティが事業のレジリエンスに果たす役割を強調することはSOCの役割を経営陣に理解させる助けとなる。

　SOCの目的である「ビジネス資産の保護」については、競争優位性の維持および業務効率の向上、財務損失の削減という観点から明確に説明することが重要だ。例えば、効果的な資金提供の重要性を強調する際には、平易な言葉を使うようにすると良い。

　業界や技術に関連したものをはじめとして、世間の注目を集めるような重大インシデントは経営幹部の関心を引き付ける。そうしたメディアの注目を浴びた脅威に対して、自社のセキュリティ体制がどのように防御したのかを強調することが重要だ。

　データの傾向を示すには、明確でシンプルな図やグラフを使うべきだ。これにより、ビジネスを中心とした短く簡潔なストーリーを構築でき、データをより説得的で理解しやすいものにできる。

　財務への影響や効率性、リスク管理に焦点を当てることは、セキュリティリーダーが経営幹部との関係を築き、的確なサイバーセキュリティ投資の意思決定を支援する上で役立つ。これによりSOCの成果を示せる他、戦略的目標および競争優位性との関係でサイバーセキュリティを不可欠なものと位置付けられるのだ。

（注1）Information Security Strategy Best Practices（Gartner）
（注2）Cybersecurity Strategy: Embrace Fault Tolerance and（Gartner）

原文へのリンク