サイバーセキュリティ対策は、間接費以上の効果を企業にもたらすものです。サイバーセキュリティ対策を講じることで、ビジネスが成長・拡大した企業のケースはいくつも存在しています。これを実現し、サイバーセキュリティ投資を推進する議論を取締役会レベルで積み重ねるためには、以下の条件が満たされている必要があります。
セキュリティへの投資によって、企業は自社のビジネスモデルからより多くの価値を獲得できるようになる。
最近まで、企業の成功要因の観点でのブランドセキュリティという試みは、決して計画性のあるものではなく、コストや複雑さを軽減させるための効率化であったり、セキュリティライフサイクルの初期段階でIT部門に組み込んだりするというものでした。問題は、これではセキュリティ投資が単に保険の契約のようなものに過ぎないという点です。このようなやり方では進化する脅威のエコシステムとその中で活動する攻撃者に対抗することはできません。
2018年には、セキュリティがビジネスの成長や成功に不可欠となるほどビジネス環境が変化しました。セキュリティと販売、生産性、経営レベルの意思決定、IT、マーケティングの関係から、セキュリティが果たすべき明確な役割について何が分かるのでしょう?
1) 強固なセキュリティ対策を施すことで、顧客獲得が図られ、顧客ロイヤルティが向上します
金融から製薬、人材派遣から小売まで、いくつかのB2BおよびB2Cセクターにおいては、信頼でき証明可能安全性を持つセキュリティ体制を敷くことが、新規顧客獲得に於いて不可欠な要件になっています。これはしばしば主張されてきたことですが、最近のVodafone(英語)の調査で証明されました。90%の企業が、強固なサイバーセキュリティ対策を講じることが、市場での評判を高め、新規顧客を引き付け、顧客ロイヤルティを向上させると答えています。
つまり、優れたセキュリティ対策は、売上の拡大や顧客の維持に繋がるということです。
2) 検知/対応ソリューションよって制限的予防コントロールが緩和され、生産性が向上しシャドーITの利用が減少します
これは情報セキュリティ業界、特にCISO(情報セキュリティ責任者)にとって長年の課題です。迅速にイノベーションを推進できる優秀な人材を採用できても、社内のセキュリティチームによる厳しいチェックアンドバランスによって次のように阻止されがちです。「もちろんそのソフトウェアを試行できますが、まず監査が必要です」または、「共同作業は名案ですが、プラットフォームのテストが終了するまで待ってもらえますか?」
これまでは、セキュリティ予算の大部分が予防的コントロールに割り当てられていました。これが、優秀で革新的な社員が企業のITシステムの利用を避け、自分たちでセキュリティ対策を行うシャドーITの利用につながり、セキュリティリスクを増大させる元になっています。
予防的コントロールの有効性と、攻撃者が予防的コントロールへの回避策を容易に見つけることを前提に考えると、ガートナーは、予算の配分が「防御」から「検知/対応」に60%シフトすると予測しています。これは、セキュリティ部門が制限された状況を緩和し、さらに柔軟性とイノベーションの観点でビジネスを積極的にサポートする絶好の機会となります。検知/対応ソリューションの導入は、侵害があった場合、企業に影響が生じる前に検知し、影響が軽減されるものと確信しています。
3) 強固なセキュリティは新たな領域や市場に企業が展開する際の自信となります
おそらくこれは保険契約としてのセキュリティを作り出す一つの方法に過ぎないでしょうか?
企業が先駆者の優位性を活用したいと考えている場合、新製品の発売や、新分野への参入は、経営陣の迅速で確信のある意思決定によって成功が左右されます。同様に、より攻撃力に優れた脅威アクターに対抗できるセキュリティ体制を構築することによって、経営陣の意思決定に伴うリスクを軽減させることができます。企業が優秀な攻撃者の関心に耐えるだけのセキュリティ体制を構築し、経営陣レベルのSWOT分析の中で、「セキュリティ」を『「弱み」と「脅威」』から『「強み」と「機会」』に変えることができれば、様々な経営判断のリスクを軽減することができます。
これは実際にはどういうことでしょうか?完成度の高いセキュリティ体制に支えられたビジネスは競争に勝てるということです。
4) 最新のセキュリティは幅広いビジネスを最適化する大量のデータに依存しています
これまでのセキュリティは、ポリシー、署名、およびコントロールの適用に関するものでしたが、効果的なセキュリティ(特に攻撃検知)は、未知の要素、標的型攻撃、そして正当なIT機能を使用した悪意のある行為などを検知するために、ITの世界で起こるすべてのことを完全に可視化する必要があります。
実際に、セキュリティチームはITチームよりもITのことをよく理解している場合があります。この専門的知識は、既存のパフォーマンスを調整してネットワークを最適化するだけでなく、本社のIT部門ではできないやり方でシャドーITの使用を検知することにも活用できます。セキュリティによって、中長期的に将来のITにどのようなことが必要になるのかが、シャドーITの利用などから知ることができますが、これはほとんどの場合革新的なスタッフが革新的なことを行った結果によるものです。
5) セキュリティ侵害に対する優れた対応によって実際にブランド資産価値を高めることができます
セキュリティ侵害は、悪評や消費者からの信頼喪失、その後の顧客離れにつながり、新規ビジネスの獲得も困難になるはずです。
しかしいつもそうならなければならないのでしょうか?セキュリティ侵害に対する優れた対応がビジネスにいい結果をもたらすとしたらどうでしょう?実際にそのようになった事例はまだ少ないですが、コンテンツデリバリーネットワークや分散型ドメイン名サーバシステムを提供するアメリカの企業Cloudflareで発生したインシデントの結末については一考する価値があります。重大な侵害によって、修復不可能な損害が及ぶと思われました。しかし、企業に与えると思われた長期的な損害に関しては、この侵害が完全に透明性を持って処理され、公開された損害低減計画や迅速な対応とともに顧客や一般の人々に伝えられたことによって、Cloudflareはそのブランド資産に誠実さ、適応力、さらに『困難なことをうまくこなす』価値を付加することができました。
セキュリティが100%効果的であることはなく、これらの事例は、その事実を社会も受け入れ始めていることをあらわすものです。侵害に積極的に対応し適切に対処したのであればなおさらです。
セキュリティをプロフィットセンターとみなすことができますか?
そこまでは言い切ることは難しいと思いますが、時代は確実に変化しました。業界として、そして役割として、セキュリティは、その価値を他のビジネスに伝える上で益々創造的になる必要があります。上記の5つのポイントは、セキュリティが、より優れたビジネスと迅速な革新を行い、競争の激しい市場で優位に立つことを可能にすることによって、真にプラスの利益を生み出すことができるということを表しています。
カテゴリ