プラクティス6-2 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理

背景

従業員数1,800名のインターネットサービス事業者であるN社は、仮想現実（VR）を利用したゲームやSNS、非代替性トークン（NFT）応用など、最新技術を活用したサービスの提供に積極的であり、将来的にはメタバースでの事業展開も視野に入れて積極的な研究開発を行っている。

サービスの開発と運用はDevSecOpsモデルに基づいているが、新サービスについての脅威はサービス内容に応じて様々であるため画一的なセキュリティ対策を講じることができない。経営層がセキュリティ対策の財務面への影響が見えないことを懸念して定量的なKPIの検討をCISOへ指示したのを受け、同社のCISOはセキュリティ成熟度に基づいた定量化ができないか試行してみることにした。

N社の実践のステップ

N社のCISOが実践した手順は次の通りである。

1. サービス提供部門や研究開発部門との意見交換をもとに、サービス提供に伴うサイバーセキュリティリスクを許容できるレベルに抑制するための取組事例を収集した。
2. (1)の結果をもとに、バランストスコアカードによる有効性の可視化として、サイバーセキュリティリスクマネジメントにおける成熟度を、セキュリティ対策を講じる対象となる構成要素（アプリケーション等）毎に次ページ表のように策定した。
3. (2)に基づいて新規サービス開始時の対策状況を定量評価できるようにした。

N社の実践内容

セキュリティKPIの設定と運用の実践にあたって、N社のCISOが留意した点は次の通りである。

• 最新技術を用いたサービスの提供に伴うサイバーセキュリティ上の脅威の発生は避けられないことから、「リスクをなくすこと」ではなく、「リスクを把握し、管理すること」に重点を置いて指標の設定することとし、大きなリスクであってもその挙動が把握できていれば評価が高くなるようにした。
• 直接的に把握しにくいリスク（例：ルール更新の不備）や、顧客への効果が把握しにくい対策（例：要員のスキル向上）については、バランストスコアカードの活用により、直接的には効果がわかりにくくても、リスクマネジメントとしての有効性につながるものを可視化することに努めた。
• 一般にセキュリティKPIとして特定の対策の達成率（例：自己点検項目の達成率）が利用されがちであるが、達成率の改善が目的となって対策の本質が見失われる恐れがあると専門家による講演で学び、N社ではできるだけ対策の実践状況を表象しやすい指標（例：想定される被害額）を用いるようにした。

• 

図2-6.3 N社のセキュリティ対策に関するバランストスコアカードの構成（抜粋）（テキスト版）

学習と成長の視点

• 組織的改善の仕組み作り
• PDCAサイクルを通じた改善実践
• セキュリティ学習機会の増加
• 要員のセキュリティスキル向上

業務プロセスの視点

セキュリティ成熟度の向上

• セキュア開発の実践
• サービス品質の向上
• 脆弱性対処能力の向上
• インシデント対応能力向上
• サイバー監視能力の向上
• ニーズに応じたルール等整備
• マネジメント能力の向上

顧客の視点

• 満足度向上、離反率低下
• インシデント被害の減少

財務の視点

• 売上増大
• 事故対処費用の低下
• サイバー保険料の低減
• 利益率の向上

更新履歴

• 2026年4月28日

  新規公開