経営層が俯瞰すべきは、自組織におけるセキュリティリスクの評価結果をどのように活用すべきかの全体像となります。そして、目的・状況に応じて、その見え方/見せ方が変化することを理解した上で
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください
背景
前回の記事では、近年、多くのクライアントから寄せられる相談でもある、セキュリティとビジネス推進部門の関係、及びそれに起因するビジネス推進部門のジレンマ、さらには、その状況を踏まえた上で、ビジネスに貢献するセキュリティの姿について解説しました。
セキュリティは、ビジネスにとって単なるブレーキとして捉えられ、速度を落とすもの、ゴールへの到達時間を長くする温床と見られてしまう側面もあります。ただし、安全なビジネス推進を助けてくれるもの、確実にその場に到達するための大事な生命線と考えると、長い目で見て、ビジネス推進部門にとって、これほど頼もしい味方・仲間はないという持論を展開してきました。
さて、前回はセキュリティ管理に関わる「プレイヤー(主にビジネス推進部門)」を起点とする解説でしたが、今回の記事は「活動テーマ(セキュリティ施策)」にフォーカスし、それを起点に持論を展開します。そして、取り上げる活動テーマは・・
“セキュリティリスク管理”
多くの方が耳に聞き覚えのあるキーワードと思います。ただし、具体的にどのような活動を行うのか、パッとイメージが浮かぶ、説明ができるという方は一部のセキュリティ業務関係者に留まるのではないかと思います。そして、セキュリティリスク管理に従事する方でも、蓋を開けてみると理解がボンヤリしている点が散見されるのも、本活動の特徴です。
セキュリティリスク管理自体は、書籍・記事でも多くの解説が存在し、こうした媒体を通じて、それなりに“一般論”として理解できている方も多いとは思います。ただし、このブログではそうした内容に終始するのは、原則NGとしております(苦笑)。もちろん、一般的な考え方や定義も大事な前提または背景として関わるため、こうした情報も適宜引用しますが、今回の記事では「なるほど!」「たしかに!」という反応を期待し、私が実際にコンサルティングの現場で経験してきたシチュエーション及び検討経緯を踏まえたナレッジの提供もかねて解説を進めます。
セキュリティリスク管理では「何を?」管理するのか
まず、セキュリティリスク管理の重要論点を見てみましょう。なぜ?誰が?いつ?等、検討すべき論点は多々あるものの、まず検討すべきは「何を?」となります。という話をすると多くの方は「そりゃ、リスクでしょ。文字通り“リスク管理”なんだし」と答えるでしょう。では、リスクとは何でしょうか。最初の一歩は、それを明らかにすることが重要です(それほどまでに、この“リスク”という言葉を正しく捉えていないシーンが多い)。
“リスク”については、セキュリティに関わらず、リスク全般・・即ちリスクマネジメント視点で見ると、代表的な規格であるISO31000において、次の通りに定義されています。
リスク = 発生可能性 × 影響度
つまり、そのリスクが発生する可能性の大きさと実際に発生した際の被害の影響度合いの大きさを掛け合わせた事象の大きさがリスクになります。では、リスクはどのように表現されるのでしょうか。パーセント、点数/スコア、高中低等の個別定義の尺度・・こうした様々な定義に共通することは、値の大小が判定できるということです。そして、その大小を見ることで、リスクに対してどのような打ち手を行うか、優先順位をどうするか等の検討・推進を行うことが、前述した論点である「何を?」の内容となります。
ただし、これはセキュリティ以外の種類のリスク全般を対象とする、より広義のリスク管理の考え方です。では、セキュリティという固有の視点で見るとどうなるでしょうか。セキュリティの場合、リスク値の算出に影響するもう1つの要素として「資産価値」が登場します。つまり、価値が高い資産ほど組織にとって重要で、対策の優先度も高くなるわけです。なお、セキュリティにフォーカスしたリスク管理は、ISO/IEC27005で定義されており、その中では「資産価値」も考慮した上でのリスク値の算出に言及しています。
セキュリティリスク = 資産価値 ×(発生可能性×影響度)
そして、セキュリティリスクの大きさが明確になれば、各リスクの大きさを比較することで優先度及び対応方針(投入すべき予算・時間・リソース等)を決定し、対応スケジュールを立案、及び実行に移すことが可能となります。ゆえに、セキュリティリスク管理の対象となる「何を?」を正しく理解することは、極めて重要な論点の一つとなります。
〇〇部門から見たセキュリティリスク管理の位置付け
さて、ここから先が、今回の記事の本題です。まず、私の過去の経験談を聞いてください。
あるクライアントからの提案依頼を受けて、セキュリティリスク管理プロセスの整備、という案件を遂行したことがあります(以降、クライアントを特定できないよう配慮して解説します)。この案件のミッションは以下の通りです。
クライアントと協議した対象範囲(事業領域)における情報資産を特定し、それを取り巻くIT環境におけるセキュリティリスクを判定、及び必要となる対策・実行計画を立案するための一連のプロセスを設計・実装する
ここで焦点となったのは、「リスク評価」という工程です。と言うと、そもそもセキュリティリスク管理プロセスの全体像がわからないから、この工程だけピンポイントで解説されてもわからない、という方もいると思います。ただし、それを言い出すと、文字通りの「教科書」的な解説で数回分相当の記事になってしまうため(苦笑)、ここでは、シンプルに次のように解釈してください。
セキュリティリスク管理においては、様々なプロセス(工程)が存在する。ただし、その中でもリスクの値を算出する「リスク評価」が最も難易度が高く、今回の記事で伝えたいメッセージにつながるエピソードが詰まっている
なお、取り急ぎにはなりますが、セキュリティリスク管理のプロセス全体像及びその中におけるリスク評価の位置付けを、以下の図1にまとめておきます。どうしてもセキュリティリスク管理プロセスの全体像が気になるという方は、必要に応じて、こちらもご参照の上、以降の内容を続けてご覧ください。
図1:セキュリティリスク管理プロセスの全体像
出所:グロービング株式会社 作成資料
さて、話を続けましょう。まず、本案件は、セキュリティ活動を現場で推進するユーザー部門ではなく、その活動の旗振り・監督を担う「セキュリティ統括部門」がプロジェクトのオーナーを担っていました。そして、統括部門からは、プロセスの詳細を詰める段階で、次のような要望がありました。
セキュリティリスク評価の結果を取りまとめる際、レーダーチャートのような形式で一目見て弱い活動・施策を把握できるようにしたい。そのためのレポートテンプレートを用意したい
これは、よくあるご相談です。セキュリティリスク評価の対象となる活動は様々であり、数十にも及ぶ種類として、組織的・人的・物理的・技術的な施策が存在します。これを個々に評価するのでなく、相対的に見て明らかに弱い取組みを把握し、最優先で対応するという意味で一つの大事な考え方となります。
図2:レーダーチャートによるセキュリティリスク評価結果の表現例
以上を踏まえて、ご要望を踏まえた準備を行い、セキュリティリスク評価に関連する他部門との合意形成を図ろうとしたのですが、各部から以下の要望が入りました。
「自分達が知りたいのは、こうしたレーダーチャートによるパッと見の全体像ではなく、〇〇〇だ。でないと判断・対応しかねる」
ここで登場した主な関連部門は、IT部門、法規認証部門、渉外部門、品質管理部門ですが、各部門がコメントした内容は、次の図3の通りです。
図3:セキュリティリスク評価結果に対する各部門のコメント
出所:グロービング株式会社 作成資料
つまり、各部門のミッション及び役割に応じて、見たい/知りたい結果は異なり、それは必ずしもレーダーチャートで可視化可能な状態(成熟度レベルの全体像)とは限らない。ゆえに、このレーダーチャートだけを見ても判断しかねる、というものでした。
さて、ここで論点となるのは、そもそもの真因です。先ほど、
検討すべき論点は多々あるものの、まず検討すべきは「何を?」となります
という話をしました。そもそものリスク管理の仕組みを整備する上では、これが最も大事な前提となるからです。ただし、整備した仕組みを運用する所までスコープを広げてみると、次の論点が最も重要であることが見えてきます。
何のためにリスクを評価、さらには、そのリスクを管理するのか?
リスク評価の結果は貴重な情報です。ただし、各部門のミッションに応じて、それをどのように組織として活用していくかについては、視点が異なってきます。視点が変われば、必要となる情報・・というよりも、その見せ方も大きく変わることになります。
ちなみに、この点に関していうと、例えば米国企業は柔軟に対応する傾向にあります。日本と異なり、各部門のミッションも明確で、そこに所属する人員もゼネラリストというよりも所属部門の業務遂行で必要となるケイパビリティ及び経験・実績を備えたメンバーが多い傾向です。つまり、もともと、組織・担当者に応じて様々な角度からデータを考察する慣習が浸透していると考えられます。一昔前に話題になったBI(Business Intelligence)ツールを見ても同じです。日本企業はExcelベースでの画一的な統計データ管理となりがちですが、米国企業は目的・用途に応じて、豊富な種類のグラフを使いこなしていました。
この傾向はセキュリティリスクも同じで、日本企業はレーダーチャートならそれ一色となる傾向となり、硬直的な視点での分析・考察になりがちです。
経営目線で見るセキュリティリスク管理の意義とは
上述した話(硬直的な分析・考察)は、経営層の視点で見ても同様の傾向が見られます。本来、経営層は組織の役割に応じて、様々な視点が必要になることを理解しているべきです。そして、それに応じて、どのような視点で?どのようなデータを?どのように表現するか?を把握しておくべきです。このような考え方は、一般的な経営データだけでなく、セキュリティリスクに関しても同様となります(リスクもデータであることには変わりないので)。
まとめとなりますが、本タイトルにある「経営目線で見るセキュリティリスク管理の意義」については、端的に言うと「俯瞰」です。ただし、それは経営層ならではの特別な視点があるわけではありません。経営層が俯瞰すべきは、自組織におけるセキュリティリスクの評価結果をどのように活用すべきかの全体像となります。そして、目的・状況に応じて、その見え方/見せ方が変化することを理解した上で、適切な指示さらには判断を行うことです。
それは、サッカーに例えると「監督」と同様です。サッカーはポジションに応じて求められる役割・動きも変わってきます。各ポジションの選手は、自分達のミッションを遂行します。もちろん、ポジション間の連携や協力は、適宜タイムリーに試合中のフィールドで行われます。ただし、その前提となる戦術や全体の布陣は、監督が把握しなければなりません。そして、各ポジションの特性や選手の状態を鑑みて、指示を出すことになります。また、フィールドの外においても、オーナー・GM・スポンサーさらにはサポーター・メディア等の外部関係者の期待と評価を一身に背負い、勝利に向けての責任を負うことになります。
セキュリティリスク管理も同じです。経営目線で見るその意義は、各部門から見たセキュリティリスク管理の要点を理解し、経営上の各局面の意思決定で何が求められるかを判断することです。そして、最終的には社外のステークホルダー(利害関係者)に対する説明責任を果たすのです。それこそが、経営目線としての「意義」と言えるでしょう。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください