侵入前提で変わる目的
クラウド・SaaS・リモートワークの拡大で境界防御は限界に近づいた。攻撃者はゼロデイよりも漏えい認証情報や設定不備、委託先侵害といった現実的な穴を突いてくる。結果として「侵入は起きる」前提での設計が必須となる。
重要なのは侵入をゼロにすることではなく、被害最小化・復旧迅速化・説明責任である。評価軸も「防げたか」から「事業損失をどこまで抑えたか」へ移る。情シスはこの前提を経営と共有し、判断材料を整える役割を担う。
ビジネス感覚としてのリスク説明
CISOに必要なのは技術の誇示ではなく、経営の言語で優先順位と投資判断を組み立てる力である。確率×影響の抽象論だけでは、意思決定は進まない。止まる業務、影響を受ける顧客、契約・法令上の義務まで含めた事業シナリオで語るべきだ。
またセキュリティをコストではなく投資として提示する必要がある。事業継続能力、監査対応の効率化、取引先要件の充足、M&A後の統合容易性などに結び付ける。加えて緊急時の権限移譲、判断基準、連絡系統を定義し、意思決定の速度を上げる。
重点はレジリエンスへの移行
技術が不要になるわけではない。ゴールが防御の網羅性から、検知・封じ込め・復旧を含むレジリエンスへ移るだけである。情シスは復旧できること、根拠ある説明ができることを設計要件として組み込む。
- アイデンティティ中心:MFA徹底、特権ID最小化、認証ログ監視
- 可視化と検知:重要ログ収集、EDR/XDR運用、トリアージ設計
- バックアップと演習:オフライン/イミュータブル、RTO/RPO設定、定期復元テスト
- 分離:ネットワーク/権限のセグメンテーション
- クラウド設定管理:責任共有の徹底、ポリシー/IaCで逸脱抑止
経営に刺さるKPIと体制整備
脆弱性件数やパッチ率だけでは事業影響が伝わりにくい。重要サービスのRTO/RPO達成、MTTD/MTTR、特権ID棚卸し、重要データのアクセス制御、委託先評価完了率など、事業重要度と結び付けたKPIに再設計する。数値を良く見せるのでなく、「次に何を決めるべきか」を提示することが目的である。
インシデント対応は技術ではなく経営オペレーションである。公表判断や停止判断のトリガー、法務・広報・顧客対応の役割分担、実動演習、外部支援の事前契約を整える。サプライチェーンも最弱点を前提に、重要ベンダーを絞り、アクセス方式・ログ提出・通知期限を契約と運用で具体化する。