資産→ビジネスプロセス→ビジネスパフォーマンスで考える

　「ガートナー セキュリティ＆リスク・マネジメントサミット2015」で登壇したモア氏は冒頭、「長年、非常に受け身だったと言わなければならない」と切り出した。

「インシデントそのものに対して、法規制の審査に対して、そしてビジネス側からのさまざまな質問事項に対して受け身だった。その結果、我々は包括的なリスク管理の枠組みを経営陣に対して提供することに非常に苦しんでいた」

　同社のベストプラクティス確立への取り組みは今年で2年目となるが、モア氏は「まだまだ受け身であることがあるが、その回数は少なくなってきている。そして今経営層からは、リスクベースの意思決定を行い、これを先導するように言われている」と現在の取り組みテーマを説明した。

「リスク管理に対して、リソースを投下して意思決定を行い、それが自社のリスクプロフィールにどういう効果をもたらすのかを説明せよという“ファシリテータ”としての役割を求められている。非常にワクワクする会話ができるようになってきた。今の仕事を非常に楽しんでいる」

　リスク管理のベストプラクティスを確立するためには、今の立ち位置を確認して、今後のロードマップを描く必要がある。そしてリスク管理を考える際には、基本となる3つの原則があるという。それが「資産ベース」「ビジネスプロセスベース」「ビジネスパフォーマンスベース」だ。

　まず「資産ベース」では現有資産の状況、つまり各システム環境内のサーバやアプリケーションといったアセットごとにその状況を明らかにし、これを継承するのかどうかを考える。

　次に「ビジネスプロセスベース」では、リスク管理のビジネスプロセスのシンプル化を目指す。この業務には今誰が関係していて、どんなミーティングが行われ、どのような話がされているのかなどを洗い出して整理する。これによって理想的なビジネスプロセスが浮かび上がってくる。

　さらにもう一歩進めた「ビジネスパフォーマンスベース」では、ビジネスパフォーマンスに影響を与えるKRI（Key Risk Indicator：重要リスク指標）を定義し、その改善を目指す。これが最終的なKCI（重要コントロール指標）につながるものだ。

「値としてKRIを設定し、その改善を目指すことは素晴らしいが、実際に達成するまでには多くの努力が必要だ。まずは立ち位置と目標が大切だ。資産ベースからスタートし、次にビジネスプロセスベースへと一歩一歩踏み固めていくことが重要だと考えている」

経営サイドには数字だけでなく、物語を語ることも大事

　ただし、モア氏は「目標を設定する際には、特にサービスを提供しているビジネスサイドの人たちがどこに行きたいのかを念頭に置かなければならない」と強調する。

「昨年から1つ、大きな学習をした。さまざまなメッセージを繰り返し伝達していたが、最終的にまったく浸透しなかった。3回話したがそれでもダメだった」

　その時、モア氏はガートナーのレポートから“セキュリティ指標をよりビジネスの的を射た指標に研ぎ澄ませ”というヒントを得た。

「とにかく基本に立ち帰るということが大切だと再認識した。一体誰がその指標を受け取る人なのか、あるいは効果を享受する人なのかを明確に理解しておかなければならない。次に自分たちが持っている指標により磨きをかけていく。それらは事業部の人たちが分かる言葉で説明しなければならない」

【次ページ】KCI（重要コントロール指標）を見える化するために活用したIT製品とは？