プラクティス6-2 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
従業員数1,800名のインターネットサービス事業者であるN社は、仮想現実(VR)を利用したゲームやSNS、非代替性トークン(NFT)応用など、最新技術を活用したサービスの提供に積極的であり、将来的にはメタバースでの事業展開も視野に入れて積極的な研究開発を行っている。
サービスの開発と運用はDevSecOpsモデルに基づいているが、新サービスについての脅威はサービス内容に応じて様々であるため画一的なセキュリティ対策を講じることができない。経営層がセキュリティ対策の財務面への影響が見えないことを懸念して定量的なKPIの検討をCISOへ指示したのを受け、同社のCISOはセキュリティ成熟度に基づいた定量化ができないか試行してみることにした。
N社の実践のステップ
N社のCISOが実践した手順は次の通りである。
- ①サービス提供部門や研究開発部門との意見交換をもとに、サービス提供に伴うサイバーセキュリティリスクを許容できるレベルに抑制するための取組事例を収集した。
- ②①の結果をもとに、バランストスコアカードによる有効性の可視化として、サイバーセキュリティリスクマネジメントにおける成熟度を、セキュリティ対策を講じる対象となる構成要素(アプリケーション等)毎に次ページ表のように策定した。
- ③②に基づいて新規サービス開始時の対策状況を定量評価できるようにした。
N社の実践内容
セキュリティKPIの設定と運用の実践にあたって、N社のCISOが留意した点は次の通りである。
- 最新技術を用いたサービスの提供に伴うサイバーセキュリティ上の脅威の発生は避けられないことから、「リスクをなくすこと」ではなく、「リスクを把握し、管理すること」に重点を置いて指標の設定することとし、大きなリスクであってもその挙動が把握できていれば評価が高くなるようにした。
- セキュリティ対策に関する要求仕様としては、公益財団法人金融情報システムセンターの『金融機関等コンピュータシステムの安全対策基準・解説書』に準拠しつつ、用途別にチェックリストを作成して対応。
- 直接的に把握しにくいリスク(例:ルール更新の不備)や、顧客への効果が把握しにくい対策(例:要員のスキル向上)については、バランストスコアカードの活用により、直接的には効果がわかりにくくても、リスクマネジメントとしての有効性につながるものを可視化することに努めた。
- 一般にセキュリティKPIとして特定の対策の達成率(例:自己点検項目の達成率)が利用されがちであるが、達成率の改善が目的となって対策の本質が見失われる恐れがあると専門家による講演で学び、N社ではできるだけ対策の実践状況を表象しやすい指標(例:想定される被害額)を用いるようにした。
図1 N社のセキュリティ対策に関するバランストスコアカードの構成(抜粋)
表1 N社のセキュリティ対策に関するバランストスコアカードの対応項目
| 定性的評価項目 | 定量的評価項目(KPI) | |
|---|---|---|
| 財務の視点 |
|
|
| 顧客の視点 |
|
|
| 業務プロセスの視点 |
|
|
| 学習と成長の視点 |
|
|
表2 N社が定めたセキュリティ成熟度の定義例(作業毎に定義)
| 成熟度 | セキュリティ関連リスクの評価 | リスク対応の実施 |
|---|---|---|
| 5 | 4に加えて、今後の継続的な変化にも対応 | 対策の有効性の評価を行いながら実施 |
| 4 | 3に加えてリスクの不確実性を考慮 | PDCAマネジメントのもとで実施 |
| 3 | 全体的に実施している | ルールと実施体制を整備した上で実施 |
| 2 | 部分的に実施している | 対策方法を定めた上で実施 |
| 1 | 形式的実施にとどまる | 場当たり的な対応のみ |