セキュリティのROIの証明:CISOが取締役会の賛同を得るには
このブログはこちらの英語ブログ(2024年8月26日公開)の参考和訳です。
セキュリティは単なるコストセンターではなく、ビジネスの成長とレジリエンスに必要な戦略的要素であると証明することは、CISOにとって大きなプレッシャーです。しかし、リスク管理と組織の資産の防御に伴うコストは特に重要事項であるため、取締役会に対してセキュリティ投資を正当化し続けなければなりません。CISOには、主要業績評価指標(KPI)を損なうことなくビジネス価値を目に見える形で示すという、微妙なバランスが求められます。
CISOはどのようにして取締役会から賛同を得られるのでしょうか。ここでは、セキュリティイニシアチブから具体的なビジネス成果を実現するために最も重要な3つの戦略について、OneMain FinancialとKyndrylのCISOの助言をご紹介します。こうしたアプローチに焦点を当てることで、セキュリティプログラムの価値を効果的に伝え、必要な支持を取締役会から得られるようになります。
ベストプラクティスその1:セキュリティ目標とビジネス目標を一致させる
セキュリティは単独の機能として捉えるべきではなく、ビジネスを成功させるための戦略的な推進要素として位置づけるべきです。投資利益率(ROI)を取締役会に効果的に示すためには、取り組みがどのように組織の利益に直接貢献するかを明確に伝える必要があります。
財務面でより明るい未来を実現できるようお客様を支援しているOneMain FinancialのCISO、Jane Domboski氏は次のように語ります。「私の経験では、取締役会のメンバーが重視しているのは、会社全体に連鎖的影響を及ぼすようなリスクを軽減することです。たとえ部分的に問題が発生しても、全体として運営を継続できるよう確保することが重要です。回避すべき主要なリスクを説明することで、セキュリティ戦略に対する明確なビジョンを明示できます」
CISOは、セキュリティ目標を全社的なビジネス目標と一致させることで、セキュリティの具体的な効果を明確化できます。たとえば、収益源の保護、運用コストの削減、成長を妨げかねないリスクの軽減のために、堅牢なサイバーセキュリティポスチャがどのように役立つかを示すとよいでしょう。インシデント対応時間の改善によるダウンタイムや財務的損失の回避など、セキュリティがKPIに与える影響を数値化することで、継続的な投資の説得力のある根拠を提示できます。
ベストプラクティスその2:客観的なデータを活用する
データは効果的なストーリーテリングの基盤です。CISOは、測定基準を活用して、セキュリティ投資の価値を具体的に示す説得力のある物語を作り上げる必要があります。適切な測定基準を選び、明確かつ簡潔に提示することで、複雑なセキュリティ情報を取締役会向けの実用的な洞察へと変換できます。
世界最大のITインフラストラクチャサービスプロバイダーであるKyndrylのCISO、Cory Musselman氏は、次のように語ります。「当社では、セキュリティプログラム内で何を行うかを示す成熟度と、それをどれだけ効果的に実行できているかを示す効果を追跡しています。これらのKPIを四半期ごとに測定するため、『サイバーバランススコアカード』を作成し、経営陣や取締役会に対して計画通りに進めていることを説明しています」
セキュリティインシデントの削減、インシデント対応時間の短縮、ユーザー生産性の向上といった主要な測定基準は、セキュリティの有効性を示す強力な証拠となります。しかし、単なる数値だけではなく、その背景や文脈を伝えることが重要です。取締役会がデータの意義を正しく理解するためには、チャートやグラフなどの視覚的な補助ツールを活用し、わかりやすく提示することが効果的です。データを使ってストーリーを構築することで、セキュリティ投資の継続を正当化するための強力な根拠を示すことができます。
また、Domboski氏は、次のように説明します。「私はスパイダーチャートを使って、セキュリティ対策の欠如によってどのようなリスクが発生するかを取締役会に示しています。さらに、現在のコントロールによる状況や、目指すべき状態も併せて提示しています。これにより、ゼロトラストを実現し、ビジネスを保護するために、アイデンティティプラットフォームが必要不可欠であることを伝えています」
ベストプラクティスその3:コストセンターから価値創出の原動力へ
セキュリティ投資の価値を明確に示すためには、CISOがその取り組みによってリスクがどのように軽減され、高額な被害を防止できているかを効果的に伝える必要があります。セキュリティ施策のROIを算出するのは容易ではありませんが、セキュリティインシデントが引き起こす財務的、法的、評判への潜在的な影響を数値化することで、セキュリティ予算の増加を説得力を持って訴えることができます。
Musselman氏は、次のように述べています。「実際の攻撃例を示し、それにどのように対応したかを説明しています。これによって取締役会に背景や状況を説明し、ROIをより明確に理解してもらえます。抽象的で曖昧だった概念が、より具体的で現実味のあるものとして伝わります」
OneMain FinancialのDomboski氏は、取締役会にROIを説明するため、テクノロジーで対処できる攻撃の割合と、人の関与が必要な攻撃の割合を比較して示しています。「取締役会が攻撃の傾向を知り、そのうちどれだけがテクノロジーだけで処理されているかを理解することで、投資の効果を理解してもらえます」
長期的な成功のため、取締役会からの支持を確保する
取締役会にセキュリティ投資の価値を納得してもらうことは、CISOにとって重要な課題であると同時に、大きなチャンスでもあります。セキュリティのROIを証明することは単に支出を正当化するだけではなく、セキュリティをビジネスの成功の戦略的な原動力として位置付けることを意味します。
経験豊富なCISOのベストプラクティスを取り入れることで、進化する脅威から組織を守るために信頼を築き、支援を得て、必要なリソースを確保できます。鍵となるのは、取締役会の関心に沿った説得力のあるストーリーを伝え、セキュリティが組織の未来をどのように守るのかを明確に示すことです。
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。