戦術5：経営層の説得に必要な「測定」実践法

　ジャオ氏が提示する5つ目の戦術が「モニタリングと測定」だ。同氏は、セキュリティリーダーに求められる役割として、組織がどれだけ安全であるかを定量的に測定し、その成果を経営層に示すことを挙げる。

　ガートナーの調査によれば、48％の取締役会議でAIや機械学習が頻繁に議論され、その多くがセキュリティやリスク管理を理由としているという。だからこそ「どれほど守られているのか」を問われる前に、適切な形で可視化しておくことが欠かせないとのことだ。

　ただし、数字を出すためだけの指標を乱立させてはいけない。ジャオ氏は「指標のための指標を作ってはいけません」と強調する。ガートナーでは成果主導の評価指標、ODM（Outcome-Driven Metrics）のリサーチを進めており、生成AIに特化した6つのカテゴリーも提示している。これらはセキュリティの実行状況や投資、さらにビジネス成果と明確に結びつくものだ。

　たとえば「データの準備態勢」では、保存データ、テストデータ、トレーニングデータに対する暗号化の実施状況が重要となる。また「生成AIアプリケーションのセキュリティ」では通常のアプリケーションセキュリティに加え、パッチ適用までの平均時間といった運用上の指標が有効である。

　ジャオ氏は「セキュリティリーダーは成果に基づく指標を用い、AI活用の安全性を明確に示さなければなりません」と強調する。

CISOに求められる「行動計画」とは？

　5つの戦術を紹介した後、ジャオ氏は「CISOに求められる行動計画」として、生成AIの活用を安全に拡大するための道筋を示す。それによると、まず重要なのはポリシーや標準を部門リーダーやエンドユーザーと連携して定義することだ。現場のビジネスニーズを把握し、生成AIが実際の業務に寄与できる形に整える必要がある。

　同時に、生成AIの利用によって広がるアタックサーフェスに備えることも不可欠である。新規／既存のセキュリティツールがどのような価値を提供するのかを賢く判断し、自社にとって最適な組み合わせを選ぶことが求められる。そして、その効果を可視化するために成果主導の評価指標を定義し、活用することが重要だという。