(イメージ:写真AC)

効果的なアプローチ

サイバーリスク管理への効果的なアプローチをすることで、リスクが低減し、組織の成功につながります。そのためには、限られたリソースの中で、どのような対策が本当に効果的なのかを知ることが重要です。組織の「サイバーエクスポージャー」(サイバー上のリスク変動資産)を削減するためには、改善策に優先順位をつける必要があります。

セキュリティーリーダーは、特定の脆弱(ぜいじゃく)性を掘り下げて、最も効果的で真にリスクを低減できる対策を探るべきです。効果的な脆弱性管理プログラムには、脆弱性の状況を理解すると同時に、脆弱性の見方、検証、優先順位付けできることが求められます。 パッチ適用や修復を行うことはもちろん大切ですが、フォローアップテストと品質保証のレビューも同様に重要です。CISOは、明確な報告基準とプログラムの有効性の分析を提供できるようにしなければいけません。

マッキンゼーコンサルティングの2019年の調査によると、リスクベースの脆弱性管理を行うことで、企業は追加費用なしで、当初のプログラムの7.5倍の潜在的なリスクを削減できます。リスクベースの脆弱性管理では、「どのようにして全ての脆弱性から企業を守り、またこれらを修正するのか」という問題ではなく、「どの脆弱性がビジネスに最大のリスクをもたらすか」という問題に対処します。

また、効果的なインシデント対応計画を持っていながらもサイバーインシデントが発生した場合、セキュリティーチームが計画通りに実施できる準備ができているかをテストすることも重要です。IBM-Ponemon Instituteの調査によると、これを実施することで、平均で200万米ドル(約2億1,280万円)以上の情報漏えい対応コストを節約できることが明らかになっています。