セキュリティ投資が効果的にならないのは「目標」がないから

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

セキュリティは経営と一体だ。しかしセキュリティについては、経営と同じように目的やゴールを明確化して取り組みが実践されることは少ない。「これまで大丈夫だったからこれからも同じ投資で大丈夫」といった正常性バイアスも生まれやすい。その状態でセキュリティ対策を進めてしまうと取り組みが曖昧になり、効果測定も難しくなる。結果として、一向にセキュリティ対策は向上しないという最悪の事態に陥ってしまう。それを避けるにはどうすればいいか。

先の見えない時代だからこそ、セキュリティ対策には明確な目標設定が求められる

（Photo/Getty Images）

求められるセキュリティと経営の一体運営、しかし実態は…

　VUCA（Volatility、Uncertainty、Complexity、Ambiguity）と呼ばれる先の見通せない時代にあって、企業のセキュリティへの投資判断はますます難しいものになっている。これまでセキュリティ投資は、リターンのないコストと見なされがちで、投資額を可能な限り抑えることが求められてきた。

　しかし、今日では、セキュリティは経営と一体だ。セキュリティ投資を怠れば、いつサイバー攻撃の被害に遭うかはわからない。企業規模を問わず多くの企業がサイバー攻撃の脅威にさらされており、ひとたび被害を受けて個人情報の漏えいなどの事故が発生すれば、企業としての信頼失墜は避けられず、経営にも大きなダメージを受けることになる。

　そのため、セキュリティに対しても、経営と同様の考え方で投資判断を行う必要がある。だが実際には、そのような判断のもとでセキュリティ対策が実施されることはまれだ。たとえば、多くの企業ではビジネス上の目的を設定し、それに向けたゴールも設定する。目的が「企業価値を高める」であれば、ゴールは「営業利益○億円」「ROE○％」などとなる。しかし、セキュリティに対しては、目的もゴールも明確ではないことが多い。

　その1つの理由は、予測の困難さにある。これから何が起こるか予測できない場合、「これまで事故はなかったから問題はない」「これまで大丈夫だったからこれからも同じ投資で大丈夫」といった正常性バイアスが生まれがちだ。そして、そうしたバイアスを持ったままセキュリティ対策を進めてしまうと、何のために何が必要なのかもわかりにくくなる。さらに、効果測定が難しくなる。その結果として、一向にセキュリティ対策は向上しないという最悪の事態に陥ってしまうのだ。

　では、未来の見通しが困難なVUCAの時代にあって、どうすればセキュリティの目的やゴールを明確化し、効果的なセキュリティ対策を講じていけるようになるのか？

この記事の続き＞＞

・重要なのは「どんな状況でもサイバー攻撃が起こることを前提にする」こと

・ダメージコントロールのための「組織」「プロセス」「ツール」

・レジリエンス向上を目的に、具体的なゴールを設定し、効果を測る