データを活用した企業のセキュリティ・レジリエンス機能の最適化
データを活用した企業のセキュリティ・レジリエンス機能の最適化
In order to play this media, we need your consent to add cookies to your device. Do you accept these cookies? Find out More.
新型コロナウイルスの世界的なパンデミックは、これまで経験したことのない集中的なデータ管理を行う必要が生じたという点においても世界的な危機と言えます。最も先進的でリソースの豊富な企業でさえ、膨大な量のデータを常時監視・追跡し、それらを意思決定や計画に遅滞なく反映させる取り組みに日々悩まされています。一方で、データ管理のためのコストを可能な限り削減すると共に、中核的な業務や機能への影響を最小限に抑えることも同時に求められています。このような複雑かつ大規模な課題に対し、企業のセキュリティ部門やレジリエンス部門はどのように対応することができるのでしょうか。
実は、このような課題は、セキュリティとレジリエンスの専門家にとっては馴染み深いものです。セキュリティ部門やレジリエンス部門は、より少ないリソースでより多くのことを行うことを求められ、そしてビジネスの成長に向けた基幹機能としての真の価値を示す最良の方法を見つけるのに苦労してきました。
この長年の問題の核心は、これらの部門において、データを十分に活用することができていなかったことであると考えられます。まず、セキュリティ・プログラムなどの効果と投資収益率(ROI)を追跡、測定、評価するための具体的なデータ指標が無かったことが挙げられます。次に、セキュリティ・プログラムなどが、最も効率的かつ効果的な形で、組織のリスクに対処するために最適化されていることをデータで示すことが難しかったことが挙げられます。その原因は、これらのプログラムが人的資源と手動プロセスに頼っていたためであり、この巨大なタスクに対応するには既に限界に達していました。
これからは、機械学習などのコンピュータの能力と視覚化ツールを梃子として、データを統合的に分析し、インテリジェンスを得る取り組みが必要です。データ分析の結果が示唆することを精度高く読み解き説明することができれば、セキュリティ・リスクのビジネスへの影響を明らかにすることができ、そしてリスク軽減策を含むセキュリティ・プログラムが最終的に企業の持続的な成長に還元できる価値を具体的に示すことができるようになります。
新型コロナウイルスに関する各種モニタリングと対応に最善を尽くしてきた組織は、より早く、より多くの情報に基づいた意思決定を行う仕組みを徐々に確立し、世界中で急速に変化する状況に対して戦略やオペレーションを軌道修正することができました。この取り組みは、企業のセキュリティとレジリエンスの機能を構築し、強化し、継続的に改善するためにも適用することができます。
データ主導のセキュリティとレジリエンスのプログラムを構築するための4つのステップ
より効果的なセキュリティとレジリエンスのプログラムの確立、そしてデータの活用に関する考え方を広げるために、新型コロナウイルスへの対応から得られた教訓を抽出し、初期の優先事項を次のとおり4つのステップで整理しました。
ステップ1:自社のプログラムの成熟度を把握する
最初は、自社のセキュリティとレジリエンスのプログラムが、組織が自ら策定した戦略の遂行に必要な水準で適切に整備されているか否かを判断するステップとなります。セキュリティ・プログラムが成熟していない初期の段階でも、プログラムのパフォーマンスを測定すること自体は可能ですが、一定の成熟度が達成された後に測定することで、その有効性と価値をより具体的に示すことができます。セキュリティ部門やレジリエンス部門が、データに焦点を当てた活動方針をいち早く取り入れることで、部門自身の進化を加速させるだけでなく、リスク・レベルの実態に適合したバランスの取れたリソース活用を可能にし、やがてはプログラムへの投資の完全な回収を実証することができるようになるでしょう。
ステップ2:測定基準と主要業績評価指標(KPI)の定義
慎重に定義された目指すべき目標への進捗状況とセキュリティ・プログラムのパフォーマンスを評価するために、それらの測定基準およびKPIを定義します。測定基準とKPIが明確に設定されたら、次にデータ収集のためのロードマップを策定します。これは、どのデータセットを使用するか、どのソースから収集するか、また、どのようなメカニズムやツールが必要かを決定するために行うものです。そして、ロードマップに基づき、セキュリティとレジリエンスのプログラムのどこに投資するかを決定します。
特定の指標は他の指標よりも容易に定量化することができます。例えば、特定区域で確認された新型コロナウイルスの感染状況、既知のインシデントの動向、脅威の検知などの非常に戦術的なものから、危機後の市場シェアや株主価値の損失などのより戦略的なものまでありますが、これらは定量化しやすいデータとなります。
他方で、定量化が難しいのが、予防のために遂行されたセキュリティ・プログラムの価値と投資収益率ですが、これを社内外のステークホルダー全体に対して証明することが重要です。これについては、一旦組織が適切なデータセットの収集と集計を始めると、時間の経過とともに効果の傾向が現れるようになるので、それらの情報に基づいて適切に軌道修正を行ない、プログラム全体のパフォーマンスを再調整して改善を試みることができます。これにより、実際のデータを使って、インパクトの軽減と機会の増加を実証することができます。
ステップ3:グローバルデータセットのマッピングとインデックス作成
セキュリティとレジリエンス部門が中核事業との連携を深め、その使命を達成するためには、まず適切な時間を費やし、データ主導のプログラムを確立するために必要となるデータの所在と最適な活用方法を理解することが大切です。これは、最も成熟した組織のみがしっかりと実施できている取り組みでもあります。
ここでは、活用できるデータセットを広く捉えることが重要です。データセットは、例えば、重要度に応じて分類された企業資産データ(物理的資産およびデジタル資産)、監査報告書、リスクおよびビジネスインパクト分析データ、人事データ、総勘定元帳の取引データ(サプライチェーンへの影響を考慮して)からはじまり、より運用性の高い脅威情報フィード(内部および外部)、アクセスコントロール・データ、ビデオおよびアラートの監視データ、インシデントレポート、さらには損失防止の統計データまで、あらゆるものが含まれます。
ステップ4:データを使ってストーリーを語る
データ分析ツールを活用してデータを可視化し、"ストーリー "を伝えます。データ可視化ツールを活用することで、企業のセキュリティ部門は複雑な問題における重要点をより早く特定でき、それらを社内の重要ステークホルダーに迅速に伝え、より多くの情報に基づいた予防や対応上の意思決定を行うことができます。
これらのツールは一般的に柔軟性に富みインタラクティブであるため、可視化されたレポートは、理解しやすく直感的なフォーマットとなります。また、データをさまざまな方法で切り貼りでき、要旨レベルの情報から個々のプロジェクト・サイトやプロセスレベルの詳細まで確認することもできます。
次のステップは?
これらの概念は決して新しいものではありませんが、企業のセキュリティとレジリエンスのポートフォリオ全体にこれらの新しいツールをうまく導入して使いこなすことは、組織にとってまだ十分に新しいことです。
新型コロナウイルスのパンデミックは、セキュリティとレジリエンスのチームにおける、データの活用方法についての検討と理解を加速させました。組織は、データ分析をどのように適用してパフォーマンスの向上を図るか、また、極めて重要なことですが、大量のデータの中から問題の核心を見極めることについて引き続き悩んでいます。むしろ、特定のニーズに対応するために、最新のツールやアプリケーションを購入することに過度の努力と価値を置いているかもしれません。しかし、実際には、同じ機能が以前に購入したツールやプラットフォームに存在していることもあります。チームとそのテクノロジーが協力し合わないと、より大きな学びと機会を逃してしまう可能性があります。
日常的にテクノロジーを体系的かつ効果的に活用できている組織は多くありません。あまりにも多くの異種のテクノロジーツールが相互に存在して連携していない場合、業務効率が低下するだけでなく、最も基本的なタスクさえも達成できなくなり、自滅してしまう可能性があります。追加投資やトレーニングが必要な専門知識やツールもありますが、基本的な機能の多くは、すでに組織の別の部分に存在していて、企業のセキュリティとレジリエンスの機能に導入または適用されていない可能性があります。
基本的に必要なのは、「考え方の転換」です。すべてのセキュリティとレジリエンスのプログラムにおいて、それが予防志向であるか対応志向であるかにかかわらず、追跡し測定することができる定量的および定性的なデータについて考え始めることです。
データはビジネスの言語であり、企業のセキュリティとレジリエンスの専門家は、セキュリティとレジリエンスの活動を他のビジネスと同じ価値ベースの用語に置き換えて、投資収益率を明確に説明し、証明するために、データをより流暢かつ創造的に使いこなすことが求められます。