5月は、茶事では初風炉。茶懐石のほうも山菜はじめ食材がにぎやかになってくるよい季節です。お腹の動きも活発になってずいぶんと食欲がでてきますが、そこは懐石。料理はいっぺんにはでてきません。こちらの様子を窺いながら、向付、汁、煮物、焼物、進肴、小吸物、八寸、湯斗、香物と出て来るわけです。

さて、今回は、セキュリティの測定結果をどのように社内報告すべきか、ということを改めて考えていきます。茶懐石に学ぶものが有る、というのが着想です。主要なセキュリティパフォーマンス指標やリスク指標から、経営陣が有意義で実行可能であると判断できる方法で報告する必要がある、とは、第34回の話でした。測定基準や測定結果を並べ立てれば仕事は終わり、というのではなく、経営指標と連動した数字(KPI)を選んで報告せよ、という知恵でした。また、個々の現場、特に人間を相手にすることから、万国共通の尺度もない、という話もありました。ある意味で、料理の切り盛りを連想させる仕事から、茶懐石のことに思い至りました。

セキュリティの測定結果を料理に例えれば、素材を選び(測定し)、調理を施し(KPIを割り出し)、器に盛り付け(文脈を整理し)、お出しする(報告する)ことになります。とは言っても、お客様(役員や取締役などのステークホルダー)も、心優しい食いしん坊ばかりではありません。気難しいヒトもいれば、食事以外のことに関心が行ってしまっているヒトもいるでしょう。社内の駆け引きもある中、どのように報告していけば、しっかり聞いてもらえる(美味しく食べてもらえる)のでしょうか。まずは、長年セキュリティの研究者として第一線で活躍されているリチャードさんに、実務で苦心している方々の話をまとめてもらって工夫を学ぶことにしましょう。

(以下、引用)


セキュリティの測定をめぐる駆け引き

愚直さと実を取ることの微妙な間合いで

Richard Absalom/Principal Research Analyst, the ISF
Feb, 2023
ISF

セキュリティの測定に関する研究から我々が理解した、押さえるべきツボの一つは、測定結果は、意思決定や行動を促すような、本質を突いたものであるべきというものでした。そこで、意思決定に関与する立場の方々との継続的な対話を通じて何を欲しているかを押さえることで、会社の情報リスクの測定能力やセキュリティのパフォーマンスを持続的に高めることに役立つ、測定サイクルという概念をまとめました(下の図を参照)。それでも、データが何を語っているのかなど、そもそも聞きたくないという意思決定者であった場合にはどうなるのでしょうか。そうなると、セキュリティを実際に測定するというだけでなく、道徳的あるいは倫理的にやっかいな話にも対応しないといけなくなります。

画像を拡大 出典:ISF

情報リスク管理が常に優先される会社でもない限り、役員会を動かそうと政治的な駆け引きに出ても、セキュリティ責任者は、自身が寄る辺ない状況に置かれていることに気づくのが落ちです。とはいえ、会社のセキュリティ状態がいかに劣悪であるかについて、血相を変えてぶちまけてしまうような真似もできません。難解な表現を使ってぼやかしたり、詳細を一部省略したりするように圧力をかけられる場合さえあるでしょう。しかし、真相をぼやかして説明したとすれば、後にインシデントが起こり、誰がいつ何を知っていたのか、と疑惑を問う声が飛び交うようになると、結局、自分たちに跳ね返ってくる可能性が高いと言わざるを得ません。

役員会を敵に回してしまうと、詳細なセキュリティ状況報告はもう結構と言われたり、セキュリティ担当者が役員会に出席すると決まって素っ気ない態度をされたりするようになり、会社のリスク管理に資するどころか逆効果になります。メッセージが伝わるためには、ぴったりしたソフトスキルを組み合わせることが必要です。上層部に対して真実を告げることと、程よい加減で伝えて理解してもらうことの間には微妙な境界線があるのです。

なぜセキュリティ測定にまつわる真実全てを報告することは難しいのか 

セキュリティの考え方からは、測定をきっちりやればやるほど、劣悪な状態に見えることはよくあるものです。もちろん、単に認識の仕方が変わるというだけのことです。つまり、リスクの水準は、測定をした前と何ら変わりません。それに、見つかったリスクについては、対処することもできる訳です。ところが、セキュリティのパフォーマンスが低下している(あるいは、これまでも実は低パフォーマンスだった)と報告することは、会社の権力構造に衝撃を与えかねませんから、変化ということを告げることには、困難が伴うのです。

経営幹部に真実を報告しても、いつも上手く受け取ってくれるとはかぎりません。悪いニュースを個人的な侮辱と受け取ったり、リスクが自分の分掌に関わり、また成績に影響するのであれば、全容は知りたくないと考えたりする方もいるでしょう。物事が上手く行かないとなったときに、一見もっともらしい反証を求めて来る方もいるでしょう。また、セキュリティ対策のパフォーマンスが本来あるべきところに達していないことを知ると、記録をごまかして全てが上手く行っているように見せようとする人もいるでしょう。

「報告しているときに幹部から、報告基準を下げて、黄色の海(要注意の評価)を緑(良)に変えたい、と言われたことが何度かあります。」- ISFメンバー 

役員会メンバーというのは、自社のビジネスについては何でも知っており、理解もしていると考えがちです。ですから、何か自分によく分からない問題が持ち上がっても、問題に向き合うのを避けようとする人もいますし、頭ごなしに否定しようとする人もいるものです。知識がないと思われるのが嫌なあまり問い返すこともせず、不意打ちも喜びません。こうした思考パターンに陥ると、セキュリティ報告書が問題として取り上げられなかったり、誤解されたりするような弊害をもたらすことにつながりかねません。

このような課題があることから、セキュリティ責任者の中には、取締役会報告なんて失職しないためにしなくてはいけない詰まらない作業に過ぎないという思考の罠に陥る人もでてきます。部屋に足を踏み入れ、肝を冷やすようなパワーポイントで取締役に眩暈(めまい)を覚えさせ、意味を問われないことを願いながら色々な数字を並べた報告をすませ、基本対策は出来てますねと心にも無いことを言って退出していく。。。お決まりのパターンは、半年毎に繰り返される。もちろん、これでは有意義な支援も得られず、変化も起きることありません。