{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2022-03-23
サイバーリスクの高まりに対処するため、企業は広範なセキュリティ対策を高度に成熟させており、その結果、コストは天井知らずに増大しています。正常なビジネスの運営のためにはセキュリティリスクを十分に低減できるリソース(ヒト、モノ、カネ)が投資されるべきと考えますが、その規模があまりにも大きくなり、本来の目的であるはずのビジネスを圧迫するケースも散見されます。現在のサイバーセキュリティ管理のあり方は、将来的に破綻する可能性を抱えています。
本シリーズでは、サイバーリスクに真摯に向き合い、適切なセキュリティ管理を実践しようとしている企業に向けて、サイバー攻撃が当たり前にある時代にあっても、経済合理性を保ちながらサイバーリスクに対処するサステナブルなセキュリティ態勢を提唱します。
企業のセキュリティ態勢は、セキュリティマネジメントシステム、技術的なセキュリティ対策、セキュリティ運用業務、そしてスキル・専門性といった人的能力により構成されています。そしてこれまで、企業はサイバーリスクの高まりとともに技術的な対策と運用業務を次々に導入することで、強靭なセキュリティ態勢の構築に取り組んできました。
このようなセキュリティ態勢は、サイバーリスクの低減効果(セキュリティ能力)の面では相応の説明性があります。一方で、サイバーリスクの高まりや新たなサイバーリスクの発生が続く限り、企業の技術的な対策と運用業務は拡大し続けることになり、経済性の観点では問題を抱えています。
DXやサイバーフィジカルといった潮流に乗り、コネクティビティが加速度的に増し、サイバー攻撃が最も収益率の高い犯罪となった現在において、サイバーリスクの増大が止まるという合理的な理由は残念ながら見当たりません。このままでは企業のセキュリティコストは増加の一途を辿り、いずれ破綻を迎えるでしょう。まさにジリ貧の状況にあります。
こうした状況を打破し、セキュリティ能力を高めながらその経済性も高めるトレードオンのセキュリティ態勢を確立するには、「アジリティの高い動的なセキュリティマネジメントシステム」と「機先を制するインテリジェンスの活用」が必要です(図1)(図2)。
企業のセキュリティマネジメントシステムは年単位のPDCAが主流であり、年次アセスメントのタイミングで残留リスク(セキュリティ能力を超えた脅威)がリスクアペタイト(あらかじめ設定されたリスク許容量)を超過していることが分かると、すぐさま新たな技術的対策やセキュリティ運用業務の追加が計画されるケースが散見されます。しかし、実際には自社を取り巻く脅威も自社のセキュリティ能力も日々変化しています(図3)。もし企業が、脅威とセキュリティ能力の変動を正しく認識できたなら、残留リスクの高まりの原因が一時的なセキュリティ能力の低下にあることを突き止め、それを的確に回復したり、脅威の高まりに対して一時的にセキュリティ能力を高めたりすることもでき、新たな対策や運用の導入を最小限に留めることができます。
つまり、自社を取り巻く脅威と自社のセキュリティ能力をリアルタイムに正しく認識できれば、脅威の動向に基づいて的確にセキュリティ態勢のポテンシャルを引き出すことができます。その結果、効率的に残留リスクをコントロールでき、サステナブルなセキュリティ態勢を実現できます。
サステナブルなセキュリティ態勢実現のカギは、1つは状況をリアルタイムに認識し、それに基づいてセキュリティ対策や運用業務を調整する動的なセキュリティマネジメントシステムを活用することです。そしてもう1つは、外的状況である脅威の詳細を把握し、正しく解釈するためのインテリジェンス活用にあります。
本稿では、企業におけるサステナブルなセキュリティ態勢の構築に必要なコンセプトをご紹介しました。企業は「アジリティの高い動的なセキュリティマネジメントシステム」と「機先を制するインテリジェンスの活用」によって、膨らみ続けるセキュリティコストを持続可能な水準に低減させるだけでなく、サイバー攻撃の発生以前に対攻撃姿勢を取ることで、攻撃耐性を向上させることが期待できます。
本シリーズでは、本稿で述べたサステナブルなセキュリティ態勢を構成するインテリジェンス活用や動的なセキュリティマネジメントシステム、コンセプト実現のためのKSF(Key Success Factor)、関連するPwCの取り組みなどについてご紹介します。