TOPセキュリティ > サイバーセキュリティーの数値化の難しさ(下)

セキュリティ

サイバーセキュリティーの数値化の難しさ(下)

2021/10/15

Mary K. Pratt CSO

 企業のセキュリティーチームや最高情報セキュリティー責任者(CISO)にとって、防御できた攻撃の数は重要である。しかし、取締役会などで示す指標として見た場合、同じように重要な意味を持つとは限らない。

前回から続く)

コストベースの指標

Credit: Maxiphoto / Getty Images
Credit: Maxiphoto / Getty Images

 CISOは、企業の資産やリスクを特定するという面については、他の幹部の協力を得ながら既に行っている場合が多いが、その次のステップとして、セキュリティー事象が発生した場合に生じるコストも特定する必要があるとDeloitteのGelinne氏は言う。

 Deloitteの2020年のレポート「Beneath the surface of a cyberattack:A deeper look at business impacts」では、こうしたインシデントに伴うコストについて、表面上のコスト(直接的で分かりやすいコスト)と、水面下のコスト(表に出ず分かりにくいコスト)に分けて取り上げている。

 例えば、表面上のコストとしては、技術的調査、顧客への連絡や周知、弁護士費用などを挙げている。一方、水面下のコストとしては、保険料の増額、借入コストの増加、ブランド価値の低下、知的財産の損失などを挙げている。

 「インシデントが発生した場合のこうしたコストを定量化することは簡単ではないが、すべてを定量化できたら、導入している統制の価値を把握できることになり、どこに注目して投資すればよいかが分かる。どのような統制に予算を投じるべきかを特定し、リターンを推定できる。定量化の作業のうち、ビジネスケース側にあたる部分だ」とGelinne氏は説明する。

 この手法が持つ価値について考えるべき対象として同氏が挙げるのは、買収や経営統合を検討している企業だ。CISOは、提案されたM&A活動に対して指標を適用し、統合が会社にもたらすリスクや、そのリスクの緩和に必要なコストを数字で示すことによって、会社の戦略の中で完全なパートナーとしての役割を果たすことができる。こうしたセキュリティー指標は、統合の交渉に関しても、統合計画全体に関しても、情報や方向づけの元になる。

 「最も重要などの部分に投資すればよいかを把握できる域に達することが重要だ。リスクの定量化が特に大きな価値を持つのはその面だ。本物の指標が基盤にあって、根拠を示すことができるし、データがない部分についても、妥当な推定を行うことができる」

↑ページ先頭へ