EN

NRIセキュア ブログ

経営層が納得するセキュリティ報告 ~スマートなツール活用術~

目次

    blogtop

     

    「うちのセキュリティは大丈夫か?」

     企業のセキュリティ担当者の方であれば、経営層からの突然の質問に、対応に困った経験があるのではないでしょうか?

     経営層は、セキュリティに関するニュースや同業他社のインシデントなどをきっかけとして、自社のセキュリティ対策に不安を感じたとき、急きょこのような質問をすることがあります。しかし、このような質問に対して、経営層に納得してもらえるような報告をすることは、なかなか難しいことです。

     

     本記事では、経営層からの「うちのセキュリティは大丈夫か?」という質問を、スマートに打ち返すための方法について解説をします。

     

    経営層が納得するセキュリティ報告

    なぜ「うちのセキュリティは大丈夫か?」に答えることは難しいのか? 

     この質問を打ち返すうえで、セキュリティ担当者を悩ませるポイントを整理しましょう。

    secure sketch_difficulty of reporting

    セキュリティ担当者を悩ます3つのポイント

    ・対策状況を網羅的に把握すること

     「うちのセキュリティは大丈夫か?」の問いに回答するためには、まず自社のセキュリティ対策状況について把握する必要があります。ここでセキュリティ担当者の頭を悩ませるのが、「網羅性」と「確認の負荷」です。

     

     セキュリティ対策状況の把握と一言でいっても、社内ルールや体制、技術的ソリューションなど、把握すべき項目は多岐に渡ります。そのため、網羅的に対策状況を把握するためのチェックリストを作成する作業は、思いのほか難しいです。また、継続的に対策状況を更新する作業も、非常に手間がかかります。

     

    ”網羅的かつ簡易的”がキーワード、セキュリティ対策の全体像とは?

     

     また、チェックリストに従った対策状況の確認も、負担の大きい作業です。確認項目が膨大になるケースが多いことに加えて、セキュリティ対策に関する情報が一元化されていない企業では、必要なデータや関係社員を探すことにも苦労するでしょう。

    ・対策状況の良し/悪しを客観的に示すこと

     自社のセキュリティ対策状況を把握したら、その状況が果たして良いのか/悪いのか、客観的に示す必要があります。経営層はそれを参考に、「セキュリティ対策ソリューションを新たに導入する」「情報セキュリティのための人員や予算を増やす」等の、次のアクションを決定します。ここでセキュリティ担当者を悩ませるのは、経営層に納得してもらうために、対策状況の良し悪しを客観的に評価する必要がある、ということです。

     

     客観的に評価する方法として、第三者にセキュリティレベルを評価してもらう、他社のデータを収集して比較する、などがあります。しかし、これらの方法は非常に手間と時間がかかるため、経営層の問いに対して、直ぐに答えることは難しいでしょう。

    ・経営層に伝わる、シンプルな表現方法

     自社の対策状況が良いのか/悪いのか評価を終えたら、最後にそれを経営層に報告します。忙しい経営層に短時間で報告するために、セキュリティ担当者は評価結果をシンプルかつ分かりやすく表現する必要があります。そのために、報告資料の作成にもかなり気を使うことになるでしょう。

     

    Secure SketCH でスマートに打ち返そう!

     経営層からの「うちのセキュリティは大丈夫か?」という質問を、スマートに打ち返すためには、Secure SketCH が有効です。Secure SketCH とは、企業のセキュリティ対策状況を評価・管理できるwebプラットフォームサービスです。

        Secure SketCH ホームページ

        事業責任者が語る「Secure SketCH」の価値|セキュリティ評価のデジタル革命

     

     上記でまとめた「セキュリティ担当者を悩ます3つのポイント」を、Secure SketCH を利用することでどのように解決できるのか、解説します。

    secure sketch_good point

    Secure SketCHのメリット

    ・網羅的な設問で対策状況を確認

    secure sketch_managing security measures by sketch

     

     Secure SketCH では、NISTサイバーセキュリティフレームワークやISO/IEC 27002:2022など(※)といった国内外の各種セキュリティガイドラインをを基に作成されたフレームワークを利用して、企業のセキュリティ対策状況を網羅的に把握することができます。さらに、セキュリティコンサルタントがトレンドに合わせてフレームワークの設問を更新するため、ユーザ様がフレームワークを見直す必要はありません。

     

    ※:Secure SketCHが対応しているガイドラインは次の通りです。(2023年7月現在)

    ・経済産業省:サイバーセキュリティ経営ガイドライン Ver 2.0
    ・経済産業省:サイバーセキュリティ経営ガイドライン Ver 3.0
    ・ISO:ISO/IEC 27002:2022
    ・経済産業省:情報セキュリティ管理基準(平成28年改正版)
    ・NIST:Cyber Security Framework ver.1.1
    ・NIST:SP800-171
    ・CIS:CIS Controls V7.1
    ・CIS:CIS Controls V8
    ・米国防総省:CMMC

     

     

     また、設問の回答は Secure SketCH 上でいつでも更新することができます。よって、継続的に設問の回答を更新することで、いつでも最新の対策状況を Secure SketCH 上で管理することができます。

    ・ コンサルの知見や他社比較に基づく定量評価

    secure sketch_evaluating security level by secure sketch

     

     Secure SketCH では、設問の回答結果を基に、セキュリティレベルを定量評価することができます。定量評価には、絶対評価である得点、相対評価である偏差値、各分野毎の対策実施率、があります。

     得点は、弊社コンサルタントが定義した各対策の重要度を基に算出される数値です。偏差値は、Secure SketCH に登録している企業(3,800社 ※2023/7月現在)の中における、自社の偏差値です。これらに加えて、各分野における自社の対策実施率や、他社の平均実施率を確認することもできます。

     

     これら数値を用いることで、「有事対応の点数が相対的に低かったため、この分野を優先的に対応する」「登録企業の中における偏差値が40と低いため、セキュリティ対策全般の高度化を進める」のように、自社の対策状況の良し悪しを客観的に示すことができます。

    ・直観的で分かりやすいグラフ

    secure sketch_graphs in sketch

     

     Secure SketCH で評価した結果は、シンプルなグラフで表わされます。このグラフを見ることで、登録企業の中における自社の立ち位置が、視覚的にわかります。これらグラフを経営層への報告資料に流用したり、もしくは経営層を Secure SketCH に招待することで、経営層に対して、自社のセキュリティレベルを簡潔に伝えることができます。

     

     また、過去の得点変動をグラフとして表示するタイムライン機能や、評価結果を簡易的なレポートとして出力できる機能など、報告に役立つ様々な機能を提供しております。

    Secure SketCH を利用しよう!

     サイバー攻撃の高度化が進むなか、セキュリティ担当者の業務は増え続ける一方です。そのような環境において、日々の業務の効率化や自動化を検討し、業務にかかる負荷の軽減を図ることは非常に大切です。まずは、Secure SketCH を用いて、「うちのセキュリティは大丈夫か?」をスマートに打ち返し、経営層への報告の負荷を軽減するところから始めましょう!

     

    なお、経営層・社内向けのセキュリティ報告の方法に課題を感じているセキュリティ担当者の方が、具体的なアクションを取れるように、本ブログのポイントや詳細をまとめたホワイトペーパーも公開しております。

    実際にSecure SketCHのデータを活用して作成したセキュリティ報告資料のイメージもご紹介しております。ぜひ、日々のみなさまのセキュリティ業務のご参考になると幸いです。

     

    経営層が納得するセキュリティ報告

     


    ▼セキュリティ担当者に読んでほしいブログ▼

    PDCAよりOODA!サイバーセキュリティの強化メソッド

     

    セキュリティ人材の業務効率を飛躍的に向上させる方法

     

    コミュニケーションと情報収集の悩み、協働作業で解決しよう

     

     

    Secure SketCH サービス紹介はこちら