開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

サイバーリーズン・ジャパン 株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/06/02

セキュリティ投資が効果的にならないのは「目標」がないから

セキュリティは経営と一体だ。しかしセキュリティについては、経営と同じように目的やゴールを明確化して取り組みが実践されることは少ない。「これまで大丈夫だったからこれからも同じ投資で大丈夫」といった正常性バイアスも生まれやすい。その状態でセキュリティ対策を進めてしまうと取り組みが曖昧になり、効果測定も難しくなる。結果として、一向にセキュリティ対策は向上しないという最悪の事態に陥ってしまう。それを避けるにはどうすればいいか。

photo
先の見えない時代だからこそ、セキュリティ対策には明確な目標設定が求められる
(Photo/Getty Images)

求められるセキュリティと経営の一体運営、しかし実態は…

 VUCA(Volatility、Uncertainty、Complexity、Ambiguity)と呼ばれる先の見通せない時代にあって、企業のセキュリティへの投資判断はますます難しいものになっている。これまでセキュリティ投資は、リターンのないコストと見なされがちで、投資額を可能な限り抑えることが求められてきた。

 しかし、今日では、セキュリティは経営と一体だ。セキュリティ投資を怠れば、いつサイバー攻撃の被害に遭うかはわからない。企業規模を問わず多くの企業がサイバー攻撃の脅威にさらされており、ひとたび被害を受けて個人情報の漏えいなどの事故が発生すれば、企業としての信頼失墜は避けられず、経営にも大きなダメージを受けることになる。

 そのため、セキュリティに対しても、経営と同様の考え方で投資判断を行う必要がある。だが実際には、そのような判断のもとでセキュリティ対策が実施されることはまれだ。たとえば、多くの企業ではビジネス上の目的を設定し、それに向けたゴールも設定する。目的が「企業価値を高める」であれば、ゴールは「営業利益○億円」「ROE○%」などとなる。しかし、セキュリティに対しては、目的もゴールも明確ではないことが多い。

 その1つの理由は、予測の困難さにある。これから何が起こるか予測できない場合、「これまで事故はなかったから問題はない」「これまで大丈夫だったからこれからも同じ投資で大丈夫」といった正常性バイアスが生まれがちだ。そして、そうしたバイアスを持ったままセキュリティ対策を進めてしまうと、何のために何が必要なのかもわかりにくくなる。さらに、効果測定が難しくなる。その結果として、一向にセキュリティ対策は向上しないという最悪の事態に陥ってしまうのだ。

 では、未来の見通しが困難なVUCAの時代にあって、どうすればセキュリティの目的やゴールを明確化し、効果的なセキュリティ対策を講じていけるようになるのか?

この記事の続き >>
・重要なのは「どんな状況でもサイバー攻撃が起こることを前提にする」こと
・ダメージコントロールのための「組織」「プロセス」「ツール」
・レジリエンス向上を目的に、具体的なゴールを設定し、効果を測る

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!