CISOの仕事に役立つ「セキュリティアウトカムキャンバス」–ウィズセキュア「SPHERE23」

今回は「CISOの仕事に役立つ「セキュリティアウトカムキャンバス」–ウィズセキュア「SPHERE23」」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　フィンランドのセキュリティ企業WithSecureは現地時間5月24日、自社カンファレンス「SPHERE23」を開催した。最高情報セキュリティ責任者（CISO）のChristine Bejerasco氏は、「セキュリティアウトカムキャンバス」について講演した。

　まず同氏は、CISOという役職について話を始めた。「会場にいる皆さんの中には役職がCISOという人も多いと思う」と語り、セキュリティ担当のディレクターやバイスプレジデントという肩書きであっても、その役割がサイバー攻撃から組織を守ることや、組織が安全を自ら確保できるようにすることならば、CISOの役割を担っていることになるとした。

　「実際には何でもありという状態」とBejerasco氏は述べ、その背景には、サイバーセキュリティが分野として未熟で、いまだに広く理解されておらず、CISOという役職もかなり新しいものということを挙げた。そして、その未熟さ故に、どのような言葉や用語を使って話をすべきかが課題となっているという。

　同氏は「脅威に対抗するソリューションに使われる技術やサービスの用語を使いがちであるが、それでは技術的過ぎてかえって経営陣を不安にさせる」といい、そのためによりビジネス寄りの言葉を使う傾向もある。

　経営陣にも組織内のリスク管理に目を向けてもらう必要があることを考えると、「理にかなった動きだ」とBejerasco氏。CISOは、組織のさまざまなレイヤーを見てまわり、理解を深め、サイバーセキュリティプログラムが健全であることを確認する必要がある。その実現には、さまざまなレイヤーに対応するモデルを作成しなければならない。

　非常時に向けて、経営者が理解できる言葉、求める情報、行動を起こすための出発点を一つにまとめ、いつでも振り返り、理解を深められるようにしておけば、CISOたちにとって有益だとし、セキュリティアウトカムキャンバスのバージョン1.0を紹介した。

　セキュリティアウトカムキャンバスは、ビジネスの構造や仕組みなどを整理・可視化するビジネスモデルキャンバスを参考にしており、経営陣には馴染みやすいものになっている。

　セキュリティアウトカムキャンバスには7つの領域があり、最初の領域は「ビジネス上の成果（ビジネスアウトカム）」。ビジネスアウトカムは、組織そのものと、その組織が達成しようとしていることに帰結する。戦略である場合もあるが、戦略は実際には短命に終わることもある。

　それに対して、実際のビジネスアウトカムは、組織の寿命の中でより長いライフサイクルを経る可能性がある。「そのため、戦略だけでなく、組織が本当に達成しようとしていることについて、幹部やステークホルダーとも協力して理解する必要がある」（Bejerasco氏）