DX時代にサイバーセキュリティ投資のビジネス価値を提供する方法:Gartner Insights Pickup(348)
急速に変化する厳しい世界経済環境を背景に、企業はデジタルビジネストランスフォーメーションを加速させている。サイバーセキュリティリーダーも、担当する取り組みを加速させ、自社のデジタル化におけるサイバーセキュリティの重要な役割を実証する必要がある。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
俊敏で対応力の高いサイバーセキュリティ部門は、安全な成長を可能にし、より保守的なアプローチを取る企業に対して持続的な競争優位を維持、強化するのに貢献する。だが、サイバーセキュリティリーダーが持続可能な方法でセキュリティ対策に優先順位を付け、投資することは難しくなっている。ビジネス部門からの要求が増大しているからだ。
セキュリティ機能を高め、自社のデジタルビジネスの成長をサポートするために、サイバーセキュリティリーダーは以下のサイバーセキュリティ施策を実施する必要がある。
1.これまでのやり方を変える:スピードとアジリティ(俊敏性)を高める
サイバーセキュリティリーダーは、セキュリティ機能に対する新たな需要を特定し、取り込むことで、これまでとは違うやり方を採用する必要がある。柔軟性や自律性、モジュール性、発見、セルフサービスが、デジタルトランスフォーメーション(DX)の取り組みの中核をなす。サイバーセキュリティにおいて、これらのキーワードを満たして新たな需要に対応するには、新たなセキュリティ戦略やセキュリティ運用モデル、仕事の進め方を構築するか、既存のこうした戦略、モデル、進め方を見直す必要がある。サイバーセキュリティリーダーはやり方を変えるために、クイックウィン(素早く達成できる成果)やスマートな戦術を導入しなければならない。
クイックウィン:ビジネス戦略の見直し
サイバーセキュリティリーダーは、セキュリティチーム全体が自社のビジネス戦略やアニュアルレポート(年次報告書)を読む必要があるプロセスを設けなければならない。セキュリティチームは、「セキュリティ戦略やプログラムが、自社の戦略目標の達成をどのようにサポートしているか」をチーム内で確認するための短いプレゼンテーションを作成する必要がある。これを定期的に行えば、ビジネスニーズの変化に伴い、計画していたセキュリティの取り組みが不要になった場合に、それを特定するのにも役立つ。
スマートな戦術:「ルールを破る」会議を開く
「ルールを破る」会議を定期的に開く。これは、セキュリティチームのメンバーがルールの現状に異議を唱えたり、既存の手順を一から見直したりできる場だ。この会議の開催は、チームが取り組んでいることや、導入されている対策のうち価値をもたらしていないものを明らかにするのに役立つ。サイバーセキュリティリーダーはこの会議の開催により、創造性の発揮やアイデアの発想につながる自由な思考を、セキュリティチームに促すこともできる。
新たな指針:人中心のセキュリティデザインを試す
人中心のセキュリティデザイン(HCSD)は、従業員エクスペリエンスをセキュリティコントロールの設計と実装の中心に据えて、サイバーセキュリティに起因する摩擦の最小化と、対策の導入の最適化につなげる。このアプローチによる利点には、コントロールの採用増加、従業員のセキュアでない行動に起因するサイバーセキュリティインシデントの低減、セキュリティ投資のリターンの増大などがある。
2.“増幅力”を解き放ち、取り組みに弾みをつける
“増幅力”は、望ましい結果に向かう前向きな勢いを生み出す、または増幅させる方策を指す。現在のビジネスにおいて、情報に基づいてセキュリティ上の意思決定を行うなどの変更を実現することが挙げられる。戦略の観点から行われる例としては、自社の内部顧客や潜在的な外部顧客により多くの価値を提供できるように、セキュリティオペレーティングモデルを適応させることなどが挙げられる。
リソースが限られている場合、最高情報セキュリティ責任者(CISO)にとって注力するべき課題である。サイバーセキュリティにおいて増幅力を利用すれば、プラスの効果を指数関数的に増幅させられる。そのための幾つかの方法を以下に示す。
批判者を納得させる
セキュリティチームの最大の批判者を役員レベルで見つける。まず、セキュリティプログラムをこうした役員の目標に整合させ、彼らの懸念に対処することで、後の段階での議論を円滑に進める。そうすることは、批判者をセキュリティプログラムの重要な推進者に変身させる機会になる。こうした批判者が推進者に変われば、他のビジネス領域からの支持を高めるのにも役立つ。これによってサイバーセキュリティリーダーは、懸念に留意していること、懸念への対処に尽力する用意があることをアピールできる。そのため、批判者からも支持を取り付けられる可能性が格段に高まる。
セキュリティチャンピオンプログラムを確立する
サイバーセキュリティリーダーは、セキュリティチャンピオン(推進)プログラムを確立しなければならない。これには、セキュリティチームとビジネス部門の間のコミュニケーションのパイプ役となる人材を社内から発掘し、起用することが含まれる。このプログラムの成功の鍵は、必要な適性を発揮できる人材をビジネス部門から選出し、それらの人材に投資し、効果的に役割を果たすために必要なセキュリティ知識を身に付けさせることにある。
効果的なセキュリティチャンピオンプログラムは、サイバーセキュリティリーダーがセキュリティに関するメッセージを主要なビジネス領域に浸透させ、セキュリティ課題に対する意識を高め、全社的なセキュリティ意識のレベルを向上させるのに役立つ。
セキュリティ行動/文化促進プログラムを確立する
セキュリティ行動/文化促進プログラム(SBCP)は、より全体的かつ統合的なプログラムによってセキュリティ意識を向上させることにより、従来のアプローチをさらに拡張する。より安全な行動を全社的に促進するのに役立ち、セキュリティ意識の高い企業文化を醸成し、定着させ、従業員の行動によって引き起こされるサイバーセキュリティインシデントを低減させる。
出典:Identifying Ways to Deliver Cybersecurity Business Value(Gartner)
※この記事は、2024年2月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。