【特別企画】

経営層にサイバーセキュリティチームのビジネス貢献度を正しく伝えるには?

[2020/10/19 10:00] ブックマーク ブックマーク

「脆弱性管理の価値に対して理解を得るための4つのステップ」

「脆弱性管理の価値に対して理解を得るための4つのステップ」の詳細は、こちらからダウンロードしてください

企業を狙ったサイバー攻撃の進化が加速する昨今、多くのセキュリティチームが人員不足や予算不足に頭を悩ませている。その一因となっているのが、セキュリティプログラムの「価値」を評価する立場にある経営層の理解不足だ。これを解消するには、経営層に向け、セキュリティ運用への十分なリソース配分がいかにビジネスに利益をもたらすのかをわかりやすく説明する必要がある。

だが、セキュリティチームが行う脆弱性管理プログラムでは、パッチが適用されていない脆弱性の数や検査した資産の数など、ビジネス戦略と直結しない数字が管理指標になっていることが少なくない。いくらこれらの数字を挙げて説明しても、技術者以外のステークホルダーにはあまり意味をなさないだろう。

では、脆弱性管理プログラムへの投資価値と効果を明確に伝え、ビジネスに対するセキュリティチームの貢献度を適正に評価してもらうには、どうすればよいのだろうか。

Rapid7のホワイトペーパー「脆弱性管理の価値に対して理解を得るための4つのステップ」では、経営層に情報を提供する上で押さえるべきポイントや、効果的なレポートに必要な要素などがまとめられている。本稿では、その一部をご紹介しよう。

ホワイトペーパー
「脆弱性管理の価値に対して理解を得るための4つのステップ」
> > 資料ダウンロードはこちら

経営層に”伝わる”業務管理指標とは?

多くのセキュリティチームでは、脆弱性管理プログラムの管理指標としてCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)スコアやサイバー攻撃を受けた数などが利用されている。これらは、脆弱性の実態を把握するには有効であり、対応すべきリスクの優先順位を検討する上で役立つものの、やはり技術者以外のステークホルダーには響かない数字だ。

さらに、もし経営層に報告する直前に重大なパッチが必要な事態が発生した場合、リスクスコアの合計値が増大するため、あたかもセキュリティチームが十分な働きをしていないかのように見えてしまう。

こうした事態を回避するためにも、経営層に提供する情報は、ビジネスのKPI(Key Performance Indicators)に対応する重要リスク指標「KRI(Key Risk Indicators)」に基づいている必要がある。

例えば、経理部門がシステム障害による請求の遅延率(%)をKPIの1つにしている場合、対応するKRIはそのシステムの重要パッチの未実施率(%)だと考えられる。具体的な管理指標として、経理部門のシステムの脆弱性の数や深刻な脆弱性の割合、パッチが適用された数などを設定し、施策によって「システム障害による請求の遅延率を下げた」ことを伝えられれば、セキュリティチームのビジネス貢献度は高く評価されるはずだ。

*  *  *

本稿からダウンロードできる資料では、KRIをさらにSLA(Service Level Agreement:サービスレベル合意書)に落とし込むことの意義や、レポート作成時の確認/注意項目、セキュリティチームのゴールの達成をサポートするソリューションに必要な機能などについてまとめられている。ビジネスにおけるセキュリティチームの価値を証明するためのノウハウとして、ぜひ参考にしていただきたい。

ダウンロード資料のご案内

ホワイトペーパー
「脆弱性管理の価値に対して理解を得るための4つのステップ」

>> 資料ダウンロードはこちら

[PR]提供:ラピッドセブン・ジャパン

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る