TOPNetwork > サイバーセキュリティ対策の効果測定、あるべき姿は(前)

Network

サイバーセキュリティ対策の効果測定、あるべき姿は(前)

2017/09/26

Thor Olavsrud CIO

 自社のサイバーセキュリティ対策について、その取り組みの価値と効果をきちんと測定しているだろうか。セキュリティの評価指標に関する最近の調査によると、大半の企業はその測定ができていない。適切な測定指標を確立していないのであれば、セキュリティ対策にやみくもに取り組んでいることになる。

 たとえ情報セキュリティ担当部門が自社のセキュリティに関するデータを集計して提示していたとしても、たいてい誰にも読んでもらえない。

 「サイバーセキュリティ対策をしていても、それがビジネスにどのような効果をもたらしているかに目を向けていない企業が多い」と、米セキュリティ企業Thycoticのチーフセキュリティサイエンティスト、Joseph Carson氏は言う。同社が策定した「Security Measurement Index(SMI)」は、ISO 27001で定められたセキュリティ標準と、セキュリティ専門家やセキュリティ団体のベストプラクティスを基盤とするセキュリティ評価基準だ。

 「取り組みのリスクと効果を比較対照して評価していない企業が多く、ビジネスインパクト評価という観点で目を向けていない。各社がセキュリティに取り組んでいるのは、コンプライアンスのためであり、そのセキュリティ測定指標の多くは、コンプライアンスに照準を合わせている」とCarson氏は話す。

 セキュリティとリスクマネジメントの問題の調査や分析を行っている非営利の情報セキュリティ推進団体Information Security Forum(ISF)のSteve Durbinマネージングディレクターは次のように言う。「情報セキュリティ担当部門とビジネス部門との協調が欠けている。どのような共通言語で話せばよいだろうか。セキュリティという見地から、ビジネスの観点で正しいことに焦点を当てるにはどうすればよいだろうか」

↑ページ先頭へ