- 2020/10/13
- セキュリティ
共通言語としてのリスク
Post by : SAM CURRY
サイバーセキュリティに関わる者として、私たちは自らを「リスク軽減者」であると考えています。私たちの仕事は、しつこく、やる気のある、しかも知的な敵に立ち向かい、悪事の発生を防ぐことです。このことは多くの点で自明であるにもかかわらず、私たちの心に訴えるものを持っています。
私たちは「防御者」を自認しています。企業から「なぜ我々は存在するのか」と聞かれたとき、私たちはしばしば「リスクを軽減するためです」と最高のビジネスボイスで答えます。この回答に含まれている問題は、ビジネスにはすでにリスクという言葉が存在していること、そして大抵の場合、私たちはそれを知らないということです。
ビジネスは、許容可能なリターンに対応する許容可能なリスクを引き受けるために存在しています。今すぐリスクに直面しない方法をお教えしましよう。それは「すべてのものをオフにすること」です。
しかし、何かを構築したり、何かをオンにしたり、何かをスケールアップしたりすると、即座にリスクが忍び込んできます。これは、セキュリティだけでなく、役員室から、経営幹部レベル、小規模な企業の支店やパートナーシップに至るまで、ビジネスにおけるあらゆる分野に当てはまります。
企業のリスクには、法的リスクをはじめ、運用リスク、財務リスク、さらにはセキュリティ以外のITリスクなど、さまざまな形があります。私は『リスクのさまざまなフレーバー』という記事で、サイバーセキュリティのリスクに対立するITセキュリティについて書きました。ここでは、これらのユニークなセキュリティリスク観の違いと、典型的な企業のリスク軽減プロセスや行動について詳しく説明します。
取締役会は、リスクを軽減すること、および株主の利益を第一に考えて行動することに関して最終的な責任を持ちます。さらに踏み込んで言うと、彼らはリスクを受け入れた上で、静的資産である資本を、正しく機能する会社へと変えるための投資を行う必要があります。
これは基本的には、より多くのお金を生み出すための機械です。これを実現するために、彼らは会社の運営を行う役員を任命し、それらの役員に気合を入れ、何とかして資本をより多くのお金を生み出す機械へと変えなければなりません。インフラ、ユーザー、市場、裁判所、地政学など、さまざまなソースからもたらされたリスクが、至る所に存在しています。そのようなリスクのほとんどは複雑で混沌としたシステム内に存在しているため、ビジネスの目標は、適切な種類のリスクを非常に効率的に受け入れると同時に、間違った種類のリスクを回避するようなマシンを構築することになります。
企業はリスク管理に非常に長けています。私たちは、これが真実であることを知っています。なぜなら、グローバル市場における競争をはじめ、法律、貿易、サプライチェーン、およびその他のあらゆる障害にもかかわらず、経済と株式価値は上昇傾向にあるからです。時には失敗もありますが、最高財務責任者(CFO)をはじめ、法務顧問、最高経営責任者(CEO)、およびその他の経営陣は、ビジネスとリスクに関する言語を発達させてきました。
実際、リスクに関する既存の共通言語とそれに付随する数学が存在しています。これは、誰もがビジネススクールで(理論的には)学んでいることです。またこれには、地域別に、産業別に(例:製造業と保険会社では非常に異なっています)、市場別に(例:消費者向けと企業向け)、多くの種類が存在しています。そして、それは今、あなたの会社に存在しています。
そこへCISOがやって来て、取締役会と経営幹部クラスに向けてこう言ったとします。「どうも、私はあなた方のCISOです。私はリスクを軽減し、あなた方が聞いたこともないような悪い事が起きないようにするためにここにいます!」。もしも話がそこまで進んでいるのなら、最初のプレゼンテーションの少し前に、誰かが「先月のウイルスに関する報告書をフォローしていないのだが、そのリスクの原因を定量化できるかね?」と尋ねてきます。
今や真実の瞬間が訪れます。このCISOはいきなり、リスクに関する言語とこの会社の方言を話し始める準備ができているでしょうか?ほとんどの場合、その答えは悲しいことに「No」です。なぜなら私たちは、セキュリティリスクと同じくらい巨大な何かを測定するための手段を持ち合わせていないからです。それは私たちにとって明白です。
CISOの中にはMBAを取得している人もおり、そのことが役に立っています。また、他の形の企業リスクに関して経験を持っている人もいます(ちなみに、そのような人は自分自身のチームとの文化的ギャップに苦戦しています)。これは、私が『成功のために生き延びる』という記事で論じたギャップであり、拡大されスポットライトを浴びた状態で、大ジャンプを達成できるかどうかは、ビジネスに関する知識を持っているかどうかにかかっています。これを達成するためには、多くの人々と一緒に食事をすること、リスクのすべての形態に関して情熱的であること、他のタイプのリスクを尊重すること、そしてあなたのビジネスにおけるリスクの言語を学ぶことが必要となります。
同時に、取締役会と経営幹部クラスがCISOを持ち上げて支援するために実施できる明確なアクションがいくつか存在しています。私は、ギャップを埋め、ビジネスとセキュリティの間の共通言語を見つける責任をCISOに押し付けましたが、実際には、取締役会と経営幹部クラスがセキュリティをより身近に引き寄せることを望むべきです。
これは難しいことですが、やるだけの価値はあります。私はCISOを担当した後、長年にわたって経営幹部を務め、現在は3つの取締役会のメンバーを務めています。そんな経歴を持つ私からの、CISOを孤立状態から脱出させたいと願う人たちへのアドバイスを下記に示します。これらのアドバイスは、先述した私からCISOへのアドバイスとは対照的に、ごくシンプルなものです。
- CISOと一緒に食事すること。これはCISOと一対一でミーティングすることを意味します。これは非公式のセッションとして実施し、共同でリスクについて議論します。CISOは自分たちにとって明白なことは数値化しておらず、しかも彼らは会社の他の部門におけるリスクの性質については何も知らないと、あらかじめ覚悟しておいてください。
- セキュリティ以外の報告や問題を早めにかつ頻繁に共有すること。あなたが彼らを単なるセキュリティ担当者としてではなく、ビジネス全体における幹部として見なしていることを伝えましょう。
- リスクフォーラムや事業継続計画および戦略にCISOを参加させること。
- CISOが適切な人材であることをまず信頼し、複数の部門にまたがる企業プロジェクトのオーナーシップを彼らに与えること。
- 報告書やKPIに関するコーチングを行い、彼らに事前に質問を投げかけることで、会議や日常的な報告を敵対的なものにしないようにすること。彼らがプレゼンを行う場合には注意を払い、ビジネスとの調和に関するガイドラインを提供すること。
- 財務や事業運営に関するリソースを彼らに提供することで、業務と経営を会社の他の部門と調和させ、さらにはマーケティング分野に関して美化を図ること。私が知っているあるCISOは、マーケティングの専門家による処理や改善がなされていないセキュリティのプレゼンテーションは、どこで行われようと一切許可しないことにしていました。これは極端に聞こえるかもしれませんが、もしあなたの会社のすべての部門がプレゼンテーションを「標準化」するプロセスを持っているのであれば、同プロセスをセキュリティ部門でも使うようにしましょう。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
