革新的なセキュリティー・インテリジェンス・ツールを使用すると、通常は垣根があるセキュリティー脅威データと脆弱性データの間を橋渡しできます。こうしたツールの主な機能の1つが、セキュリティーー・ダッシュボードやレポートを作成することです。ただし、CISO(Chief Information Security Officer:情報セキュリティー担当責任者)は、このレポートのデータを上層部に分かりやすい言葉で説明する必要があります。CISOは、より大きな影響力を役員室に与えますが、セキュリティーのメッセージを理解させることは難しい場合もあります。

レポート報告のポイント

効果的な上層部向けレポートの形式を策定する場合、上層部を理解すると役立ちます。彼らは情報セキュリティーについてどの程度知りたいと考えているでしょうか。彼らのビジョンは何ですか。たとえば、コスト削減に取り組んでいるディレクターに直属している場合、良好な情報セキュリティーが企業にもたらす財政面の利点について、根拠の一部をレポートに含めることができます。

または、議事録の上に追記がある場合、拡大企業のリスクを管理する上でセキュリティー・メカニズムがどのように役立つか、および他社製のセキュリティー管理がグローバル・ビジネス・モデルにとってどのように必要かについてレポートできます。上層部と直接コンタクトを取る機会がない場合、上層部とやり取りしている人間と関係を築くという方法もあります。上層部の企業戦略について彼らに尋ね、どの程度の詳細をレポートに含めるべきか、具体的な情報を手に入れましょう。

コラボレート

他のリスク領域の同僚と協力してレポートを作成すると、役に立つことがあります。情報セキュリティーは企業全体のリスクであり、情報および通信技術(ICT)の問題にとどまるものではありません。共同レポートでは、組織にとって最大のリスクを述べ、適切に管理されているかを説明します。そうしたリスクを一般的な表現で説明します。「ハックのリスクは高い/中程度だ/低い」などの曖昧な議論はしないでください。リスクの高低に関する認識は人によって異なり、「ハック」は複数の事象が非常に複雑な形で並んでいるものです。

たとえば、上層部がリスクを取って投機的な事業を進める性格の持ち主で、投資で利益を上げるチャンスが60パーセントあればリスクを取る価値があると考える人物だった場合、彼または彼女は、今後2年間でデータ不正利用の確率が19パーセントならば、リスクとしてはおおむね安全と考えるかもしれません。確率の低い事象でも大惨事につながりかねないことを上層部に理解させるようにレポートを作成するべきです。データ不正利用は財政面の損失をもたらすだけではなく、株主の利益、信頼、評判も毀損し、刑事責任の問題も引き起こすおそれがあると上層部に認識してもらう必要があります。

さらに、懸念材料は個人データ漏洩のリスクについてだけではありません。サイバーチャンネルを通じた産業スパイも増えています。ICT、マーケティング、販売、製品開発、法務部門などは、サーバースパイや顧客データ不正利用のリスクとリターンのトレードオフを共有する必要があります。リスクと管理のバランスをどのように取るかをあわせて示すことができれば、自説をより強力に論証することができるでしょう。

ベンチマーク

レポートの中で、自社と他社を比較する章を特に設ける方法もあります。情報セキュリティーの予算、リソース、インシデント、耐久力、知識の点で、自社が業界内でどのランクにあるかを提示してください。業界でベンチマークとなるデータにアクセスできない場合は、自社の過去と比較することも検討してください。セキュリティー・インテリジェンス・レポートで月、四半期、または年単位の傾向を示すこともできます。脅威を検出して防いだ比率、コンプライアンスの向上率、それに使われた予算を視覚的に示すという方法もあります。自分のチームの成功をアピールし、セキュリティーの投資が何をもたらすかを提示しましょう。

企業文化によっては、世間を最近騒がせたデータ不正利用の例を示すという方法もあります。上層部は、これが自社にも起こりうるかどうかを知りたがるでしょう。無闇に怖がらせることなく真実を伝えてください。こうした犯罪行為に対して自社がどのような緊急対策を備えているか、そして対策が不十分な領域を補うために何が必要かについて説明します。

将来をセキュリティーで守る

つまるところ、情報セキュリティー・レポートは、リスクと管理、コストと利益、脅威とチャンス、強みと弱みの間のバランスについて、過去、現在、そして将来のリスクの位置付けに関する情報を記載したものです。

レポートのスタイルを見つけても、もう一度変更しなければならない場合もあります。取締役会は情報セキュリティーへの関与を強め、その結果として、具体的な情報を要求してくるでしょう。彼らとのコンタクトを絶やさないでください。誰もが学び続けるのです。次世代のリーダーは、情報セキュリティーに関する知識を基本的なスキルとして持ち合わせるようになるでしょう。それまでは、将来をセキュリティーで守るために現在のリーダーを支え続ける必要があります。

(出典:Security Intelligence より訳出 “How to Create Impact With Your Information Security Report in the Boardroom” BY NICOLE VAN DEURSEN 2015年2月9日)