【重要】会員機能一時停止とサイトメンテナンスのお知らせ

経営・戦略

2026.07.04 11:20

サイバー成熟度を証明するのは、もはやポリシーではなくセキュリティ・アシュアランスだ

stock.adobe.com

stock.adobe.com

サイバーセキュリティ態勢の成熟度を評価する従来のアプローチは、一般に、組織が書面で示せるものに重点が置かれてきた。組織は、ポリシーが存在し統制が業界標準にマッピングされていること、ダッシュボードがサイバーセキュリティの全体像を一望できる単一の画面を提供し定期的にレビューされていること、そしてセキュリティ監査が実施されていることを示す必要がある。

しかし、この評価では、導入されたセキュリティ統制が、システム、アプリケーション、下流のサプライヤー、インフラ、データ環境、ミッションクリティカルな業務プロセス全体で実際に機能しているかどうかは証明できない。

そこで、より大きなリスク管理フレームワークの一部としての「セキュリティ・アシュアランス」が重要になる。

サイバー成熟度の変貌

成熟したサイバーセキュリティ・プログラムは、ポリシー、ツール、報告体制の存在だけで測れるものではない。これらは必要条件ではあるが、専門家は、それらを組織が真に守られていることの「証拠」ではなく「投入要素」として捉えるべきである。また、それらが機能しない場合に、事業が深刻なリスクにさらされうるかどうかも考慮しなければならない。

例えば、筆者の組織が提供する情報セキュリティの「Standard of Good Practice(SOGP)」のような有用な拠り所は、セキュリティ・アシュアランスを単なる監査作業として捉える見方から転換させる助けとなる。アシュアランス・プログラム、セキュリティテスト、測定、リスク報告、監査を構造化して統合し、統制が実際に有効かどうかを評価できるようにする。

ポリシーとダッシュボードは、もはや証明にならない

セキュリティ活動がセキュリティ成熟度に等しい、と考える誤りを犯してはならない。確かにダッシュボードは、パッチ適用量、監査の進捗、ポリシーレビュー、未解決の脆弱性、コンプライアンス状況などへの可視性を提供する。だが、これらはサイバーセキュリティ態勢の「指標」であって、機能していることの証明ではない。このギャップは、63%の組織が、セキュリティ統制を実装していると認めている一方で、52%が、その統制がリスクを抑え込めるかどうかに自信がない、という事実に明確に表れている。

パッチ適用は、重要システムがレジリエントであることの証明にはならない。ポリシーのレビューも、従業員や主要なステークホルダーが(とりわけプレッシャー下で)そのポリシーに従っていることを保証しない。統制の可視性が明確であっても、それが事業上重要な環境全体で一貫して適用され、セキュリティ投資対効果(ROI)を生み出しているかどうかを必ずしも確認できない。だからこそ、統制の導入がどれほど有効に機能しているかを測ることが重要になる。ただし、それは事業のエクスポージャーと意思決定に結びついている場合に限られる。

アシュアランスは、重要環境全体で「何が機能しているか」を証明する

不都合な真実は、あらゆるシステム、プロセス、サプライヤー関係、アプリケーション、環境を網羅的に保護することはほぼ不可能であり、リソースを圧迫し、セキュリティ対応の労力を指数関数的に増大させ、持続が難しくなるという点にある。効果的なリスク管理は、潜在的な不具合が最も大きな影響を及ぼす領域を特定し、それに基づいて優先順位を付けることから始まる。その領域には、重要業務プロセスとアプリケーション、技術インフラ、機微なデータ環境、サプライヤー接続、特権アクセスの経路、クラウドサービス、復旧能力が含まれる。

狙いは、実務的なセキュリティ・アシュアランスを達成することにある。これは、組織が重要な環境を選定し、必要な統制が実装されているかを判断し、その統制が有効かどうかを検証する助けとなる。その証拠がなければ、リーダーはしばしば仮定に基づくマネジメントを強いられ、健全なリスク管理は損なわれる。

取締役会が求めるのは、技術報告の増量ではなく「証拠」である

詳細なサイバー報告が時代遅れになったわけではない。しかし、取締役会はいま、より明確なリスクの証拠を求めている。どの重要環境がテストされているのか、どの領域でアシュアランスが強く、どこが弱いのか、どのセキュリティ所見が解決され、どれが未解決のままなのか、そして、どの課題が資金拠出、ポリシー変更、経営幹部のオーナーシップ、あるいは正式なリスク受容を要するのかを知りたいのである。

取締役会に運用の細部をさらに送り込むのではなく、報告は、組織全体にわたるリスク・エクスポージャーについて、正確で包括的かつ首尾一貫した見取り図を経営陣に提供すべきだ。セキュリティチームがどれほど多忙かを単に列挙しても評価は得られない。一方で、組織が自らのエクスポージャーを理解し、それに基づいて行動していることを示せば評価される。

テストはアシュアランスの礎である

サイバーセキュリティ統制の有効性に対する確信は、テストを通じてしか築けない。組織は以下を評価しなければならない。

• 特権アクセス統制が不正利用を防いでいるか。

• インシデント対応が現実の攻撃のスピードで機能しうるか。

• バックアップが求められる時間枠内に復元できるか。

• サプライヤーのセキュリティ義務が検証されているか。

• クラウドの統制が機微なワークロードを保護しているか。

• 重要アプリケーションが、現実の攻撃経路に耐えられるか。

対象環境は、弱点を特定し、その弱点が確実に対処されていることを担保するために評価されなければならない。テストは、統制の設計と統制の実性能の間にあるギャップを露呈させる。所見は不快なものになりうるが、組織が将来を見据えたレジリエンスを築くことを可能にする。

監査所見は、改善につながらなければならない

監査所見は、詳細に文書化され共有され、アクションプランの基盤になることが多い。だが、進捗はそこで止まりがちである。監査所見は、固定化された観察結果のまま残る。サイバー成熟度とは、是正のオーナーを割り当て、是正措置に合意し、それを実装し、進捗を監視し、機能していることを検証し、得られた教訓をアシュアランス・フレームワークに還流させることにある。

監査は最終工程と見なされがちだが、実行可能でなければならず、その所見はより広いリスク管理アーキテクチャに統合される必要がある。取締役会のリスク許容度を、事業インパクト、統制の実性能、是正、経営の説明責任と結び付けるべきである。

まとめ

サイバー成熟度は、ポリシー、ダッシュボード、フレームワーク、統制によって下支えされるべきである。その有効性は、証拠の連鎖によって証明されなければならない。この連鎖には、何が最も重要か、それを何が守るのか、それらの統制がどのようにテストされたのか、何が失敗したのか、何が修正されたのか、そしてリーダーシップがなお意思決定すべきことは何かが含まれなければならない。

だからこそ、セキュリティ・アシュアランスが、サイバー成熟度の新たな証明となるのである。

forbes.com 原文

タグ:

advertisement

ForbesBrandVoice

人気記事