Cloud CISO の視点: サイバーをビジネス用語で語ると賛同を得やすい

※この投稿は米国時間 2025 年 1 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

2025 年 1 月最初の「Cloud CISO の視点」をご覧いただきありがとうございます。今年は企業のトップたる取締役会からスタートしましょう。サイバーセキュリティについてビジネス用語で語ると、組織が直面しているサイバーセキュリティ リスクのコストと優先度をより的確に伝えられることについて説明します。

これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。

--Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

サイバーセキュリティについて議論する際は、より幅広い支持を得るためにビジネス用語を使用する

Google Cloud、TI セキュリティ担当 VP 兼 CISO、Phil Venables

サイバー攻撃は第一級のビジネスリスクであること、そして堅牢なサイバーセキュリティ プログラムはビジネスの推進要因になり得ることに疑いの余地はありません。そのため、サイバーセキュリティに関する議論の場が SOC から経営幹部や役員室に移ったときは、サイバーセキュリティの用語をより一般的に理解されているビジネス用語に言い換える（さらには、必要に応じて翻訳する）ことに注意を払う必要があります。

サイバーリスクをビジネスの文脈に置く

サイバー攻撃は、重要なサービスを直接妨害し、機密データを漏洩させ、ブランドの評判を傷つけ、顧客の信用を損ない、最終的には収益源と株主価値に影響を与える可能性があります。サイバーセキュリティのリスクを効果的に管理し、それをビジネス文化に根付かせるため、次の 3 つの重要な対策を取ることをおすすめします。

1. サイバーリスクを定量化する。潜在的なサイバー脅威の財務的影響を評価する明確な方法を開発することで、サイバーリスクを定量化します。組織のリーダーが技術的な専門用語をビジネス上の結果に言い換えることができれば、意思決定者は全体的なサイバーリスク エクスポージャーを財務的な観点から理解できます。
2. サイバーセキュリティをビジネス用語で表現する。これにより、サイバーセキュリティのリスクをより的確に伝えることができます。これは、組織の戦略的目標や優先事項に対する潜在的な影響に焦点を当てることを意味します。技術的な指標の代わりに、サイバー脅威が収益や業務にどのような悪影響を与えるかを強調するナラティブを使用します。
3. セキュリティとともにビジネス上のメリットも提供する。リスクの軽減策を導入する際に、付随するメリットも実現します。リスク モデリング、費用便益分析、ビジネス目標に沿ったパフォーマンス指標の追跡は、強固なセキュリティとビジネス リターンの構築に役立ちます。

たとえば、リスク評価を実施するときは、現在のリスクレベルを維持する管理策を評価し、それらを置き換え、統合、改善することによって付随するメリットを実現できるかどうかを見極めます。必ずしも成功するとは限りませんが、挑戦するという行為自体がさまざまな部署との関係を強化することにつながります。

これを実行に移す

取締役会は、最高情報責任者または最高技術責任者、最高情報セキュリティ責任者、および事業部門との間で次の 4 つのトピックについて話し合う必要があります。

• ビジネスに不可欠なサービスを明確に定義する。それらのサービスの依存関係（サードパーティ プロバイダを含む）を文書化し、潜在的な脆弱性を明らかにします。
• 復元力を最優先事項とする。サイバーセキュリティ対策による脅威からの保護と、重要なサービスの復元力強化を優先し、冗長性、災害復旧計画、インシデント対応機能への投資を提唱します。
• セキュリティをすべてのビジネス プロセスに組み込む。すべての部門からの積極的な参加を促すことで、セキュリティをすべてのビジネス プロセスに組み込みます。これにより、セキュリティが（後付けではなく）組織の DNA の不可欠な一部になります。
• 復元力のある労働力を作り上げる。競争力のある報酬と福利厚生、および専門能力開発の機会を提供し、熟練したサイバーセキュリティ専門家がやりがいを感じる職場環境を育むことで、復元力のある労働力を作り上げます。サイバーセキュリティとリスク管理のスキルを組織全体で育成する包括的なトレーニングやメンターシップ プログラムに投資することは、人材の獲得、育成、維持にも役立ちます。

サイバーセキュリティを重要なビジネス サービスと連携させることに重点を置いた協調的なアプローチは、組織のセキュリティ ポスチャーを強化し、重要な資産を保護して、進化し続けるサイバー脅威ランドスケープに対する復元力を高めます。

この記事の一部は、「取締役会のためのセキュリティの視点」レポート第 6 版から再掲したものです。このレポートでは、サプライチェーンの脅威や情報共有のベスト プラクティスも取り上げられています。レポートの全文はこちらでお読みいただけます。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Next ‘25 でユニークな没入型セキュリティ体験をお確かめください: Google Cloud Next が、セキュリティの専門家だけでなくセキュリティに関心のある人にとっても必見のイベントとなる理由をご覧ください。詳細はこちら。
• Google はどのようにして脅威検出を高品質、スケーラブル、かつ最先端のものにしているか: 新シリーズ「How Google Does It」の一環として、最先端の脅威検出とその対応に対する Google のアプローチについて詳しくご紹介します。詳細はこちら。
• 製造業においてクラウドを成功の原動力にする方法: 製造業が直面している課題や脅威にもかかわらず、私たちは楽観的な見通しを立てています。その理由をご覧ください。
• EU の DORA への対応は Google Cloud にお任せください: DORA の発効に伴い、EU の金融機関は、デジタルの脅威を前にしてオペレーショナル レジリエンスを新たなレベルに引き上げる必要に迫られています。Google Cloud で何かできるのかをお確かめください。詳細はこちら。
• 機密データの保護にトークン化ツールを使ってみる: Google Cloud にはトークン化が組み込まれています。この機能を機密データの保護に使用するべき理由をご紹介します。詳細はこちら。

今月公開されたその他のセキュリティ関連のストーリーについては、Google Cloud 公式ブログをご覧ください。

脅威インテリジェンスに関するニュース

• マルウェア構成の自動抽出に Backscatter を使用する: Backscatter は、Mandiant FLARE チームが開発した、マルウェア構成を自動的に抽出するツールです。詳細はこちら。
• 脆弱なシングルページ アプリケーションの修正方法: シングルページ アプリケーション（SPA）は多くの場合、アクセス制御の脆弱性を複数抱えています。アプリケーションを支える API に堅牢なアクセス制御ポリシーを実装することで、クライアントサイド レンダリングに関連するリスクを大幅に軽減できます。その方法をご紹介します。詳細はこちら。

今月公開されたその他の脅威インテリジェンス関連の記事については、Google Cloud 公式ブログをご覧ください。

Google Cloud Security および Mandiant のポッドキャスト

• クラウドにおけるランサムウェアの脅威の高まり: クラウド環境でランサムウェアに対処する際、具体的にどのような課題や考慮すべき点があるのでしょうか。また、これらのリスクを軽減するために、組織はセキュリティ戦略をどのように適応させればよいのでしょうか。Recorded Future のランサムウェア ソムリエ兼脅威インテリジェンス アナリストである Allan Liska 氏が、ホストの Anton Chuvakin と Seth Rosenblatt とともに、進化し続けるランサムウェアの厳しい状況について語り合います。ポッドキャストを聴く。
• Cybersecurity Forecast 2025: 誇張は減り、より現実的になる: 今年のサイバーセキュリティ界はどうなるのでしょうか。AI の脅威はどの程度現実的でしょうか。誇張によって見えにくくなっている本当の脅威は何でしょうか。Google Threat Intelligence グループのプリンシパル インテリジェンス アナリストである Andrew Kopcienski が、Anton のぼんやりとした展望を鮮明にします。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 1 月に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables