あなたの会社のリスク指標は、なぜまったく役に立たないのか

　「ガートナー セキュリティ＆リスク・マネジメントサミット2015」で登壇したプロクター氏は、「御社が使っている指標には、まったく役に立っていないものがある。今使っている指標について、まず3つのテストにかけて欲しい」と現在使用しているリスク指標を見直す必然性を強調し、現在、使用しているリスク指標が有用かどうかをチェックするための3つの項目を提示した。

　1つめが“その指標が先行指標であるかどうか”で、「その指標を使えば、自社に損失が発生する前に何らかの問題が起こり得ることを教えてくれるものかどうか」だ。

　2つめが“その指標がビジネス上のインパクトに対して、正当化可能な因果関係を持っているかどうか”で、「つまりその指標が変動した時に、誰かがアクションを起こさなければならないという因果関係を、きちんと持っているかどうか」ということである。

　そして3つめが、“その指標が、実際に自社の意思決定あるいはアクションに影響を与えたことがあるかどうか”だ。

「すべての指標をこの3つでチェックし終えれば、指標の数はずっと少なくなっているだろう。しかし残っている指標はとても強力なものだ。企業はこうした強力な指標をより多く作成することが重要だ」

　またプロクター氏は、優れたKRI（Key Risk Indicator：重要リスク指標）の条件として、「明確に定義されており、ビジネス成果との間に正当な因果関係を持っていること」を挙げた。

　たとえば、「先月発生した『攻撃』の回数」は、「一般的だが価値がない」と指摘。さらに「パッチ未適用の脆弱性の数」については、役に立つ可能性はあるが、具体性に欠け、「オペレーション上の意思決定の指針にはならない」とした。

なぜITリスクはビジネス上のリスクだと認識されないのか

　それではITオペレーション上のリスク指標を、どのようにして企業の意思決定者に関連性のある指標にすればいいのか。

「よくITオペレーションにおける重要指標を提示することがある。しかし企業の経営陣は、その指標にはまったく関心がない。そこでエグゼクティブが関心を持つものに置き換える必要がある」

　CRO（Chief Risk Officer）もしくはCISO（Chief Information Security Officer）、CIO、ビジネス部門という3つの対象者を考えた時、たとえば、会社のサプライチェーンに何か問題が起きた場合には、この全員が気に留め、そこから問題は解決されていくことになる。

　これに対して、重要なシステムに重要なパッチを当てる日数が30日から60日、90日へと延びていってしまった時にはどうか。

「誰も気にしない。というのも、これは技術的な問題であり、技術担当者が対応すればいいだけの話ということになるからだ。たとえ120日、150日へとさらに延びたとしても、だ」

　そこでプロクター氏は、KRIをビジネス上の問題へと結び付ける必要性を訴える。

「たとえばITリスク上の赤信号が、CIOの黄色信号になるように、そしてビジネス部門の黄色信号になるようにつなげたらどうか。これで技術的な問題が、ビジネス指向の問題へと置き換わることになる。いったんビジネス上の問題になれば、すべてが修正される」

　ただしITリスクをビジネス上の課題へとマッピングするためには、事前に各問題間の関連性、すなわち“各対象者が気にする課題のつながりがどうなっているのか”を十分に把握する必要がある。

　たとえば、ある自動車メーカーの組み立てラインでは、90秒ごとに1台ずつ、車が送り出されてくるが、ITが原因で、ある一定時間、組み立てラインがダウンした場合、40台ある車の在庫が無くなることに直結する。その問題はIT側ではなく、経営幹部に報告される。

「ここで非常なポイントは、すべてのITのダウンタイムが報告されるのではなく、ビジネスに最も影響度の高いITのダウンタイムだけが報告されるということだ。KRIを実際のビジネスパフォーマンス上の問題、つまり経営幹部が気にするものにつなげなければならない」

【次ページ】ビジネスに影響を与える「先行リスク指標」の具体例