写真を拡大 (出典:Forrester Consulting / Better Security And Business Outcomes With Security Performance Management)

約4割がセキュリティで取引失う

Forrester Consulting社(注1)はサイバーセキュリティに関する格付けを提供しているBitSight社からの委託を受けて行われた調査結果として、2019年9月に「Better Security And Business Outcomes With Security Performance Management」という調査報告書を発表した(本稿で「セキュリティ」とは情報セキュリティを指す)。

ここで「Security Performance Management」(もしくはSPM)という用語については、あまり一般的に用いられていないようであり、適当な訳語が見当たらないので、本稿では便宜上「セキュリティ能力マネジメント」と表記する(注2)。

タイトルが示すように本報告書は、セキュリティ能力マネジメントがビジネスにおいてもたらすメリットを示すことを意図してまとめられたものである。

なお、特に欧米においては、managementの対象はmeasurement(計測・測定)が行われるべきだという考え方が主流のようであり、本報告書にはSecurity Performance MeasurementおよびSecurity Performance Metricsという用語も度々登場する。これらも略すとSPMとなるので混同しないよう注意が必要である。

調査は米国および英国の組織を対象として、2019年の2~5月にかけてオンラインでのアンケート調査によって行われ、207の組織から回答を得ている。回答者には ITやセキュリティ、リスク、コンプライアンスに関する意思決定者が多く含まれており、回答者の92%が IT 部門に所属し、また回答者の 47%が CIO(最高情報責任者)、10%が CISO(最高情報セキュリティ責任者)、33%が役員との事である。

なお筆者の推測であるが、おそらくアンケート回答者の多くはForrester Research社やBitSight社から依頼されて回答したと思われる。したがって調査結果を読む際には、一般的なIT関係者よりもセキュリティ能力マネジメントに関する知識や経験を比較的多く有する方々による回答結果だという前提で読むべきであろう(注3)。

本稿のトップに掲載したグラフは本報告書の3ページ目に掲載されているもので、図中に書かれているように、回答者の38%がセキュリティの厳しさが欠如しているか、もしくはそう思われていることによって取引(顧客)を失ったと回答している。