サイバーセキュリティ・バランスト・スコアカード: KPIの例を含むガイド - BSC Designer

サイバーセキュリティの新興トレンドに対応するパフォーマンス指標を持つ戦略スコアカードの例。

KPI、成功要因、施策を含むデータセキュリティ戦略マップ

サイバーセキュリティ戦略マップの指導原則。出典: データセキュリティスコアカード.

記事の主なトピック:

データセキュリティ研究と用語
なぜサイバーセキュリティのKPIが必要か？
まだ起きていないことをどのように測定するか
データセキュリティ戦略のためのフレームワーク

財務の視点
顧客の視点
内部の視点
学習とインフラの視点
データセキュリティスコアカードの自動化

出発点: データセキュリティ研究

データセキュリティとデータ保護に関する定期的な研究は、データ侵害の根本原因とその防止方法について良い指針を提供します。この記事では、それらの調査結果をKPIで測定可能な包括的なサイバーセキュリティ戦略にどのように組み合わせることができるかについての例を説明します。

以下は、参考として使用するレポートです：

IBMによるデータ侵害のコストレポート¹は、ITセキュリティの世界におけるベンチマークの一つであり、ポネモンインスティテュートによる研究が行われています。
Verizonのデータ侵害調査レポート²は、サイバーセキュリティリスクについての異なる視点とそれに対処する方法を提供します。
EYグローバル情報セキュリティ調査³は、組織がデータセキュリティリスクに対処するために実施するベストプラクティスを共有します。
FireEye M-TRENDSレポート⁴は、データセキュリティの脅威とその進化について報告します。

用語：サイバーセキュリティ、データセキュリティ、データ保護、データプライバシー

まず、データ/情報セキュリティとデータ保護（データプライバシー）という用語の違いについて話しましょう。

データ/情報セキュリティは、データを管理するための安全なアーキテクチャを維持することです。定期的なバックアップ、最新のセキュリティソフトウェア、アクセス権、DLPソフトウェアの実装などを考えてください。
データ保護は、データの倫理的・法的な使用に関するものであり、同意を得て規制上の義務を遵守することです。

この違いは重要です。例えば、Facebook–Cambridge Analyticaのケースでは、データは安全に（暗号化され、安全なサーバーに保存されて）管理されていましたが、データ保護規制に従って責任を持って管理されていませんでした。

データ保護という用語は主にヨーロッパとアジアで使用されており、アメリカでは同じ概念がデータプライバシーと呼ばれています。Françoise Gilbertは彼女のブログで良い説明を共有しています。

最後に、サイバーセキュリティという用語は、データセキュリティだけでなく他のセキュリティシステムも含む、より広範囲のアイデアをカバーすることを意図しています。実際には、しばしばデータセキュリティという用語と同じ意味で使われています。

なぜサイバーセキュリティのKPIと戦略が必要なのか？

明らかな理由を超えて、組織の現状を把握し、進むべき方向を理解することに加えて、以下の理由を挙げます：

新しいセキュリティソリューションをステークホルダーに提示する際に、いくつかのデータで議論を裏付けることができる。
ビジネスコンテキストを明確にすることで、サイバーセキュリティ施策をタレントスコアカード、ITスコアカード、または企業ガバナンススコアカードなど、戦略の他の部分に整合させるのに役立つ。
「最新のIT技術を活用した高度に安全なビジネス環境」のような漠然としたアイデアを、具体的なパフォーマンス指標を用いてより具体的なものに変換する。

Data Security Scorecard - How to create a comprehensive cybersecurity strategy measurable by KPIs

この動画を YouTube で視聴

まだ起こっていないことを測定する方法

データセキュリティは無形なものであり、定量化や測定が難しい定量化や測定が難しいように見えるかもしれません。なぜなら、どのようなデータ侵害が組織に発生するか事前に知ることはできないからです。冒頭で言及された実証研究（例えば、IBMセキュリティレポート参照）は異なる見解を示しています。

データ侵害のほとんどは、以下のような既知の要因によって引き起こされています：

資格情報の漏洩 (19%)
フィッシング (14%)
クラウドの設定ミス (19%)

これにより、サイバーセキュリティの努力をどこに集中させるべきかが分かります。

すべてのデータ侵害を防ぐことはできませんが、データは組織への影響を最小限に抑えることができることを示しています：

セキュリティオートメーションの導入、
対応チームと対応計画の準備、
従業員の教育、および
レッドチームテストのようなアプローチを用いた事業環境のテスト。

最も重要なビジネス機能と資産については、復旧ポイントと復旧時間の目標を定義し、それを災害復旧のスコアカードに形式化し、サイバーセキュリティスコアカードと整合させます。

データセキュリティに適用可能なビジネスフレームワークとは？

以前、組織がその戦略を明確にし実行するのを助ける様々なビジネスフレームワークについて議論しました。サイバーセキュリティの分野に適用可能なフレームワークとは何でしょうか？

最良の結果を得るためには、様々なフレームワークを組み合わせる必要があります：

PESTEL分析を用いて、外部環境の新しい要因を検出し分析します（学習と成長の視点からの目標を参照）。これには、データ保護法のような法改正や、Covid-19後に見られたリモートワークのトレンドのような破壊的な変化が含まれます。
対応努力に焦点を当てることについて多く話します。この文脈では、様々な優先順位付けフレームワークが役立ちます。
データセキュリティ戦略に取り組む際には、今日必要な行動、近い将来に必要な行動、そして遠い将来のための施策を考慮する必要があります。この文脈では、三つの地平フレームワークが規律ある議論を行うのに役立ちます。
これらの関連性のないアイデアを一貫した戦略に変えるために、バランスト・スコアカードフレームワークを使用します。

最初に参照したビジネスフレームワークと調査報告を使って、データセキュリティ戦略の例を作成しましょう。

財務の視点。データセキュリティの財務影響の見積もり

データセキュリティの財務KPIは、ステークホルダーにセキュリティ施策を提示する際に必要不可欠です。関連する業界ベンチマークを提供できると、プレゼンテーションはさらに印象的になります。

VerizonのレポートやIBMのレポート（ポネモン研究所による）では、この文脈でいくつかの洞察が共有されています。時には、データが矛盾することもあります。例えば、データ侵害1件あたりのコストは大きく異なることがあります。IBMのレポートでは150ドルから175ドルの範囲を示していますが、Verizonのレポート（データ侵害調査報告書、2015年）によると約0.58ドルです。ケン・スピナーはTeachBeaconでこのトピックに関する説明を共有しました。

セキュリティスコアカードの財務の視点

データ侵害の潜在的な財務影響を削減する目標は、具体的な遅行指標に分割されます。出典: Data Security Scorecard.

あなたの組織の場合のデータ侵害コストをどのように見積もることができますか？

それは直接費用と間接費用に基づいています：

直接費用には、フォレンジック分析のコスト、罰金、顧客への補償が含まれます。
間接費用は、データ侵害が原因で発生した既存および潜在顧客、従業員、パートナーの損失を指します。

データセキュリティスコアカードでは、ポネモンまたはVerizonの研究からのデータ侵害1件あたりのコストのベンチマークを取り、それをリスクにさらされている記録の数と掛け合わせることができます。

計算を行うには、次のような基本的なビジネスデータが必要です：

LTV（顧客生涯価値）
データ侵害による顧客離れの見積もり
顧客数
リスクにさらされている記録の数
失った潜在顧客

データ侵害コストの計算式

「データ侵害コスト」指標の値は、他の2つの指標の値を使用して計算されます。出典: Data Security Scorecard.

それに応じて、データ侵害の直接的な影響は次のように計算できます：

データ侵害のコスト（直接費用） = データ侵害1件あたりのコスト * リスクにさらされている記録の数

間接費用については、データ侵害による顧客離れ率とLTVを使用してそれらを定量化する方法があります：

顧客離れのコスト = [顧客数]*[LTV]*[データ侵害による顧客離れ]/100

さらに、契約を結ばなかった潜在顧客の数を見積もることができます。

機会損失コスト = [失った潜在顧客] * [LTV]

顧客の視点。セキュリティリスクの定量化。

顧客の視点での主要な目標は次のように定式化されています:

データセキュリティおよびデータ保護リスクを軽減する

データセキュリティスコアカードの顧客視点の目標とKPI

全体的な顧客目標は「データセキュリティリスクを軽減する」と定式化されています。その結果は「加重リスク」指数で定量化されます。出典: データセキュリティスコアカード.

これらの指標によって評価されます:

先行指標 データリスクの早期検出と迅速な対応 は内部の視点からの目標の成果です
先行指標 データ保護準備度
遅行指標 加重リスク指数

ここでの論理は、組織が内部セキュリティシステムに取り組み（データリスクの早期検出と迅速な対応で定量化）し、必要なデータ保護措置を導入し（データ保護準備度で定量化）することで、加重リスク指数で定量化されたデータセキュリティリスクをより良く軽減することです。

データセキュリティ戦略を構築する際は、チームが成功要因の指標（先行指標）と期待される成果の指標（遅行指標）の違いを理解していることを確認してください。

顧客の視点からの指標について詳しく議論しましょう。

加重リスク指数

この指標の目標は、組織が直面している現在のリスクレベルを定量化することです。そのために、データ漏洩の数をその影響レベルで分類して定量化します：

重大なリスクイベント、重み 70%
重要なリスクイベント、重み 20%
中程度のリスクイベント、重み 7%
低レベルのリスクイベント、重み 3%

ご覧の通り、非線形の重み付け尺度が適用されています。このモデルでは、重大なデータ漏洩が指数の指標に最も大きな影響を与え、低レベルのイベントは影響が小さいです。

データセキュリティのための加重リスク指数メトリック

加重リスク指数は、異なるレベルのリスクイベントを考慮に入れています - 重大なリスクイベント（最も高い重み）から低レベルのリスクイベント（最も低い重み）まで。出典: データセキュリティスコアカード.

このアプローチは、制御指標があまり重要でない問題を解決することでグリーンゾーンに移動されるときに、測定システムが操作されるという問題に対処します。しかし、リスクイベントが適切に分類されていることを確認する必要があります。

指標の計算と指標の重みを考慮に入れることに興味がある場合は、当社のウェブサイト上の該当する記事をご覧ください。

データ保護またはデータプライバシーの測定

前述のとおり、データ保護は個人を特定できる情報（PII）および類似データの倫理的かつ合法的な利用に関するものです。

この場合の保護手段は、適用される法律によって明確に定められています。ヨーロッパではGDPRがあり、アメリカではビジネスドメインに応じてCCPA、HIPPA、PCI DSS、GLBAなどの異なる法律があります。

データセキュリティスコアカードのデータ保護準備指標

バイナリインジケーターの例（可能な状態は「はい」または「いいえ」- 値が「はい」の場合、このインジケーターのパフォーマンスは100%、それ以外は0%。出典: データセキュリティスコアカード.

GDPRを例に取ると、測定の観点からデータ保護はインデックス指標であるデータ保護準備度で追跡され、次のようなメトリクス（主にバイナリ）は使用されます:

データ保護責任者の指名
明示的な同意の追跡
データ侵害報告手続き
アクセス、訂正、消去の権利の実施
データポータビリティの権利

これらの指標は、組織、その製品およびサービスに適用される最も具体的なケースにさらに詳細化することができます。

法令遵守を確保するために、これらの指標および法的要求事項は定期的に見直すべきです。これは、該当する指標の更新間隔機能によって自動化することができます。より具体的な例については、以下の自動化セクションを参照してください。

内部の視点。データセキュリティリスクを軽減する方法

内部の視点の目標とパフォーマンス指標を見つけるためには、根本原因の分析を行い、見つかったリスク/コストポイントを確認する必要があります。

調査結果は特定の組織のビジネスドメインやビジネスシステムに依存しますが、IBMセキュリティやベライゾンのレポートで強調された共通の傾向があります。それらの調査結果を使用して、スコアカードの内部の視点の目標とKPIを策定します。

データセキュリティスコアカードの内部の視点

サイバーセキュリティ戦略の推進要因。『早期発見』の目標は、2つのサブゴール『リスク軽減計画の策定』と『ITの複雑さの軽減』によって支えられており、それぞれが対応するパフォーマンス指標と施策を持っています。出典: データセキュリティスコアカード.

データリスクの早期検出と迅速な対応

データ侵害が発生した場合、検出と対応の迅速な対応はコストを大幅に削減します。

スコアカードでは、これは2つの遅行指標で定量化されています：

平均検出時間
平均対応時間

遅行指標はすでに起こったことを定量化します。組織はどのようにこれらの指標に影響を与えることができるでしょうか。同じレポートは、通常より良いデータセキュリティ対応につながる特定の行動を示唆しています。

成功要因は目標にマッピングされています：インシデント対応チームの形成

成功要因の例 - 'インシデント対応チームの形成'はデータ侵害の影響を最小限に抑える成功要因です。出典: データセキュリティスコアカード.

スコアカードテンプレートには、早期検出と迅速な対応の目標に整合した2つの記録があります：

インシデント対応チームの形成。この記録は成功要因としてマークされています。IBMセキュリティレポートによれば、これはデータ侵害の影響を最小限に抑える根本的な原因の一つです。
高リスクデータアクセスの検出。この施策により、特定の種類のデータアクセスの影響に応じてチームの努力を優先することができます。優先順位付けに対するより体系的なアプローチを探している場合は、優先順位付けフレームワークに関する記事をご覧ください。

早期検出と迅速な対応の目標における2つの先行指標があります。どちらも上記のデータセキュリティレポートの調査結果に基づいています：

リスク軽減計画の策定
ITの複雑さを減少させる

詳細を議論しましょう。

リスク軽減計画を策定する

リスク軽減計画を持つことは、データ漏洩への迅速な対応の成功要因です。

既存のデータセキュリティ計画が良いものであることをどう確認できますか？

それは、組織内でデータが管理される方法を反映する最新のリスクモデルに基づいているべきです。戦略スコアカードでは、これは定期的なデータセキュリティ監査という先行指標によって定量化され、学習と成長の視点で説明されています。

提案されたリスク対応計画が実際に効果的であることをどう知ることができますか？

リスク計画の定期的な更新とともに、策定された計画の実践での適用をテストすることができます。これは遅行指標であるインシデント対応テストによって定量化されます。

ITとデータの複雑さを減らす

実証研究では、データ侵害コストを最小化するのに役立つその他の要因として以下の点が挙げられています：

ITインフラの複雑さ
データスキームの複雑さ
自動化

戦略マップ上で、これらの要因をITとデータの複雑さを減らす目標に組み込みました。

Sub-goals for the internal perspective on security scorecard

サブゴールは全体のゴールがどのように達成されるかを説明します。出典: Data Security Scorecard.

この場合：

データとITの複雑さを減らすが目標の根拠です
最も価値のあるデータへのアクセスを制限することは、必要なITソリューションの複雑さを減らすための成功要因の一つです
脆弱性テストとコンプライアンスを自動化することは、セキュリティのIT自動化に向けた幅広い施策です

最後に、複雑さを最小化することがデータ侵害へのより良い対応策の一つであると名付けられた場合、どのようにしてそれを定量化できますか？

その答えは個別であり、組織のIT環境に依存します。このスコアカードには、データセキュリティの複雑さ指数の例があり、以下のような指標で構成されています：

最高アクセスレベルを持つユーザーの数。この指標の最適化機能は「線形に最小化」に設定されており、機密データにアクセスするユーザーの数を減らすことで、指数の全体的なパフォーマンスが向上します。
ログイン資格情報を無効化するまでの時間。データ侵害の7％は悪意のある内部者が原因です。ログイン資格情報を迅速に無効化することは、ITセキュリティ対策の一つであり、この割合を減らすことができます。この場合、許容される時間間隔は非常に短いです。この考えをスコアカードに反映するために、この指標の最適化機能は指数的減衰です。

Exponential decay for some performance indicators

この指標のパフォーマンス機能は「指数的減衰」に設定されています。ゲージチャートに見られるように、このメトリックの緑のゾーンは比較的小さく、ログイン資格情報を無効化する許容時間は数時間であり、日単位ではありません。出典: Data Security Scorecard.

DLPソフトウェアによって制御されている機密データの割合。データ損失防止ソリューションは、ITセキュリティを自動化する方法の一つです。組織が新しいデータを扱う限り、データモデルを定期的に見直し、機密データがDLP（データ損失防止）ツールによってアクセス可能であることを確認することが重要です。
データの暗号化とバックアップの自動化。前の指標と同様に、最新のデータモデルを持ち、機密データが適切に管理されていることを確認することに関心があります。
最新のセキュリティソフトウェアの割合。このメトリックは単純に見えますが、研究は異なる話をしています。16％のデータ侵害の根本原因はサードパーティソフトウェアの脆弱性です。ソフトウェアベンダーは定期的に脆弱性を修正する更新をリリースします。最新の更新がインストールされていることは、セキュリティリスクを最小化する成功要因の一つです。
自動化カバレッジの割合。この指標は、現在の自動化レベルで可能な自動化レベルを比較します。自動化が進むほど、人為的要因の影響が少なくなり、ステークホルダーにとっての複雑さが減少します。

Complexity index of data security

インデックススタイルの指標で複雑さを定量化する方法の例であり、サブ指標が異なる重みでインデックスに寄与します。出典: Data Security Scorecard.

これらはデータセキュリティの複雑さを定量化するいくつかのメトリックの例に過ぎません。複雑さに対するより強固なアプローチは、ステークホルダーの詳細な分析、悪い複雑さのポイントの発見、複雑さ削減の戦略の策定を含むべきです。前回の記事では、複雑さのメトリックとそれを実際に適用する方法について議論しました。

学習と成長の視点

この視点では、2つの大きな目標があります：

定期的なデータセキュリティ監査 目標は、データセキュリティのための適切なインフラに焦点を当てるのに役立ちます。
従業員へのデータセキュリティ研修 目標は、データ漏洩を防ぐため、またはその影響を最小限に抑えるために、チームに最新の知識とスキルを提供することに焦点を当てています。

データセキュリティスコアカードの学習の視点

サイバーセキュリティ戦略の学習とインフラ推進要因 - 「定期的なデータセキュリティ監査」と「従業員へのデータセキュリティ研修」。施策、先行指標と遅行指標を伴う2つの重要な目標。出典: データセキュリティスコアカード.

これらの目標が戦略マップ上でどのように定式化されているか見てみましょう。

定期的なデータセキュリティ監査

私たちは、目標に整合した合理性としてサイバーセキュリティリスクの分析を持っています。一般的なサイバーセキュリティリスクとは何でしょうか？合理性の説明には、いくつかの例があります：

サイバー攻撃
ランサムウェア
マルウェア
内部の脅威
紛失/盗難された認証情報
無許可のアクセス
データの損失
データの破損

合理性の例：サイバーセキュリティリスクの分析

サイバーセキュリティリスクの定期的な分析の必要性は施策として策定されています。整合した指標「定期的なリスク分析」はこの施策の実際の進捗を示します。出典: Data Security Scorecard.

仮説として、リモートワークがデータセキュリティに影響を与えていることが目標に整合しています。多くの組織にとって、リモートワークはCovid-19への対応としての危機対策戦略の一部でした。

先行指標が2つあります：

定期的なリスク分析 – 新しいリスクの一般的な分析
機密データのリスクを定期的に評価 – 機密データの文脈でのより具体的な分析

両方の指標は四半期ごとに更新されるよう設定されています。

更新間隔は四半期ごとに設定されています

「機密データのリスクを定期的に評価」の更新間隔は四半期ごとに設定されています。このソフトウェアは、指標が定期的に更新され、新しいデータが更新間隔で許可された日付（この設定では四半期の最初の日）に記録されることを管理します。出典: Data Security Scorecard.

現在のリスク状況を分析し、そこから学ぶためにセキュリティチームの努力を定量化するのに役立ついくつかの指標があります：

脆弱性スキャン – 通常、ITチームによって自動化されたスキャン
ペネトレーションテスト（ペンテスト） – サイバー攻撃のシミュレーション
レッドチームテスト – より多くの参加者を含む大規模なセキュリティテスト

それぞれのKPIは異なる更新間隔に設定されています：

自動化された脆弱性スキャンは週次または月次で行うことができます。
リスクモデルに応じて、ペンテストは四半期ごとに行うことができます。
最後に、最もリソースを要するレッドチームテストの指標は、半年または年次の更新間隔に設定されています。

リスク分析とテスト手順は、セキュリティシステムの弱点を見つけるために設計されています。これらのシミュレーションとテストの得られた教訓が効果的に実施されていることをどうやって知るのでしょうか？この質問に答えるために、次の指標を追跡することができます：

再発するデータ侵害の数指標。

同じタイプのデータ侵害が繰り返し発生する場合、それはセキュリティチームが提案したリスク軽減計画が期待通りに効果を発揮していないことを示しています。

従業員にデータセキュリティを訓練する

人間の要因は、データセキュリティシステムの最大のリスクの1つです。IBMセキュリティレポートによると、約36％の悪意のあるデータ侵害が人間の行動（フィッシング、社会工学、資格情報の漏洩）に関連しています。

これらのリスクを効果的に軽減するために、データセキュリティ戦略をどのように設計することができますか？

解決策の1つは、特定の操作を自動化し、人間のオペレーターの役割を減らすことです。これは、内部の視点で議論した複雑性削減の目標と多く共鳴します。

従業員にデータセキュリティを訓練する - 施策の例

施策の一覧とその状況。出典: データセキュリティスコアカード.

自動化が不可能または利益にならない他のケースでは、教育が答えです。データセキュリティの文脈で教育の努力をどのように集中させるか？先行指標と遅行指標のペアを使用することができます！

先行指標: データセキュリティトレーニング浸透率は、データセキュリティ意識向上トレーニングのカバレッジを追跡するために使用でき、参加者はフィッシングの実践やそれを回避する方法などを学ぶことができます。
この場合の最良の遅行指標は、意識向上トレーニングの具体的な影響に焦点を当てるべきです。トレーニングのトピックの1つがフィッシングの実践を理解することであった場合、フィッシングテストを実施し、従業員が実際にトレーニングの成果を使用しているかどうかを確認します。これは、スコアカードでフィッシングテスト成功率指標を使って定量化できます。

現在、データセキュリティに関する従業員の教育が優先事項であるならば、あなたのセキュリティチームは、この記事で議論されたカークパトリックのレベルモデルを使用してトレーニング評価スコアカードを設計することができます。

データセキュリティスコアカードの自動化

私たちは、組織内でデータセキュリティ戦略を説明し、実施し、実行するのに役立つ戦略スコアカードの例について議論しました。

このスコアカードはBSC Designer Onlineにおいて無料テンプレートの一つとして利用可能で、無料プランのアカウントでサインアップし、ニーズに応じてカスタマイズを開始することができます。

戦略の総コストを知る

データセキュリティのための戦略スコアカードを持つ理由の一つとして、新しい施策をステークホルダーに提示しやすくなることを挙げました。

提案された戦略のコストは、最初に検討される質問の一つです。戦略を実行するためのコストは、すべてのビジネス目標とそれに対応する施策のコストの合計として見積もることができます。

An example of cost of strategy report

サイバーセキュリティスコアカードの「戦略のコスト」レポートは、すべての施策の予算（割り当てられたものと実際に使用されたもの）を要約します。出典: データセキュリティスコアカード.

BSC Designerを自動化ツールとして使用すれば、施策に予算を割り当て、その使用を管理することができます。ソフトウェアは戦略を実行するための総予想コストを提示する戦略のコストレポートを生成することができます。

ダッシュボードで重要なデータを視覚化

利害関係者の典型的な要望の一つは、正しい決定を下すためのデータを持つことです（以前、データ駆動型意思決定について話しました）。戦略マップ自体には多くのデータが含まれています。別のアプローチとして、最も重要な指標とそのデータを表示するように設定できるBIダッシュボードを構築することがあります。

この記事の戦略テンプレートでは、2つのダッシュボードがあります（それらの間を切り替えることができます）。

An example of risk index dashboard

サイバーセキュリティのためのBIダッシュボードの例：重要なリスクイベントの時間チャート、重み付きリスク指数の進化、一部の特定指標のチャート、対応策のガントチャート、リスクとそのステータスのリスト。出典: Data Security Scorecard.

リスク指数ダッシュボードは、現在のリスク状況を定量化するために使用したリスク指数指標にのみ焦点を当てています。ダッシュボードの図を使って、次のことが分かります：

ゲージチャートに視覚化された現在のリスク
リスク指数が時間とともに変化した様子
重みチャートで各指標のリスク指数への寄与

An example of the data security complexity index dashboard

サイバーセキュリティのスコアカードの2番目のダッシュボードは、複雑性指数、その時間経過による進化、およびその指標の状態にのみ焦点を当てています。出典: Data Security Scorecard.

もう一つのダッシュボードはデータセキュリティ複雑性指数です。私たちが議論したように、セキュリティシステムの悪い複雑性はデータ漏洩リスクの要因です。このダッシュボードは、選択された指標によって定量化された複雑性の現在の状態を視覚化します。

パフォーマンスデータの分析

KPIとしてパフォーマンスデータを収集することは、ほとんどの組織が定期的に行っていることです。どの自動化ツールが使用されているかに関わらず、利用可能なデータは豊富です。

問題は常に、このデータをどのように活用し、実行可能な情報に変換するかということです。チームが戦略マップやダッシュボードを議論する際にいくつかの洞察が得られます。他の洞察を見つけることは自動化できます。

この点で、BSC Designerの分析機能は非常に役立ちます。以下はその例です：

議論したほとんどの指標は定期的に更新する必要があります。更新時間分析を使用することで、すぐに更新が必要な指標や、更新が遅れている指標を見つけることができます。これはアラート機能で自動化することも可能です。
スコアカード上の各指標には、その重要性を反映する重みがあります。絶対重み分析を使用することで、最も重みの高い指標を見つけることができます。例えば、例として、指標検出までの平均時間が最も重い指標の一つです。チームがいくつかの施策に取り組むことを検討しており、その中の一つがデータ侵害をより迅速に検出することを約束するのであれば、それに優先順位を付けてください。
時には、パフォーマンスデータの変化を単に見ることで興味深い発見を得られることがあります。急激な増減は、新たな要因があることを示すサインです。なぜ中程度のリスクイベント指標が30%減少したのか – それは内部システムの更新の結果なのか、それとも報告の問題なのかを分析する必要があります。

Mean time to detect has one of the highest weight

「絶対重み」分析は、スコアカードに最も大きな影響（最高の絶対重み）を持つ指標を見つけるのに役立ちます。この場合、「重大なリスクイベント」と「検出までの平均時間」が最も大きな影響を持っています。出典: データセキュリティスコアカード.

根拠、成功要因、期待される結果をマップする

無料の戦略的計画コースでは、目標のビジネスコンテキストを理解することの重要性について議論しました。よく記述された目標を持つだけでは不十分であり、その背後にある理由、その成功要因、そして組織にとって価値のある期待される成果を理解することが重要です。

複雑さを減らすという目標のための根拠と成功要因の例

施策の一覧、その状況、およびそれに整合した指標の進捗状況。出典: データセキュリティスコアカード.

スコアカードテンプレートからのITとデータの複雑さの軽減という目標を見てみましょう：

データとITの複雑さを軽減という根拠の記録があり、この目標が重要である理由を説明しています：「ソフトウェアシステムとデータインフラの高い複雑さは、データ漏洩のリスク要因です。」
また、複雑さを軽減することの成功要因として最も価値のあるデータへのアクセスを制限することがあります。目標の文脈では非常に理にかなっています。機密データへのアクセスを減らすことで、データスキームの複雑さが軽減され、その結果としてデータ漏洩のリスクが減少します。

場合によっては、何かを達成するための固定計画がないことがあります。その代わりに、教育的仮説に取り組んでいます。BSC Designerのユーザーは、目標に仮説を追加できます。私たちの例では、リモートワークがデータセキュリティに影響を与えているという仮説が定期的なデータセキュリティ監査と整合されています。

期待される成果を知ることも非常に重要です。たとえば、従業員をデータセキュリティについて訓練する場合、責任あるデータ管理という期待される成果があります。それは実際には何を意味するのでしょうか？これをどうやって定量化できるのでしょうか？これらの質問は、興味深い議論の扉を開きます。

施策を予算、担当者、ステータスと共に作成する

戦略計画と実行のギャップを埋めるために、目標に対して施策を使用します。ITとデータの複雑性を削減するに整合した脆弱性テストとコンプライアンスの自動化施策を例にとってみましょう。

An example of initiative - automate testing

予算とタイムラインが割り当てられた戦略施策の例。この施策の影響は「自動化カバレッジ」指標で定量化されています（「整合したKPI」フィールドを参照）。出典: データセキュリティスコアカード.

この施策に対してあなたのチームは具体的にどのように取り組むのですか？説明フィールドを使用して詳細な行動計画を追加します。
他のリスク緩和計画とどのように整合していますか？文書セクションを使用して関連するリソースにリンクします。私たちの例では、ITスコアカードの例にリンクしました。
この施策の責任者は誰ですか？担当者を割り当て、関連することが起こったときに通知を受け取れるようにします。
この施策の現在のステータスは何ですか？チームが施策に取り組む進捗に応じてステータスを更新します。
この施策の文脈で進捗をどのように追跡できますか？例では、データセキュリティ複雑性指標を形成する自動化カバレッジ, %指標にリンクしました。

セッション: 'BSC Designerによるバランスト・スコアカード入門' はBSC Designerの継続的な学習プログラムの一部として提供されており、オンラインおよび現地でのワークショップとして利用可能です。詳細はこちら....

結論

この記事では、データセキュリティ戦略の例について説明しました。以下は、私たちが議論した最も重要なアイデアです：

データ侵害の既知のリスク要因と、セキュリティインシデントの影響を最小化するための実証済みの方法があります。
利害関係者にデータ侵害の直接および間接的なコストを理解してもらいましょう。
戦略を集中させ、問題を早期に検出し、迅速に対応します。
データ侵害の影響を減少させるために、リスク軽減の計画と対応チームを用意します。
ITシステムとデータスキームの悪い複雑さを減らします。
リスクモデルを定期的に更新し、セキュリティ環境をテストします。
人的要因はリスクスポットの一つです – チームを教育し、正式な試験のスコアだけでなく、行動の変化を見てください。

次は何ですか？良いサイバー戦略は、組織のニーズに合わせてオーダーメイドされます。この記事で議論したセキュリティ戦略テンプレートを出発点として、自分のデータセキュリティ戦略を構築し始めましょう。コメントであなたの課題や発見を自由に共有してください。

サイバーセキュリティ分野におけるアプリケーションの例

ビジネス専門家がBSC Designerプラットフォームを使用して、サイバーセキュリティ戦略に関連する課題を解決し、自動化する方法を学びます。

レビューを読み込んでいます...

データセキュリティと保護スコアカードテンプレートを使用してください

BSC Designerは、組織が複雑な戦略を実施するのを支援します:

プラットフォームで無料プランにサインアップしてください。
新規 > 新しいスコアカード > その他のテンプレートで、 データセキュリティと保護スコアカードテンプレートを開始点として使用してください。
利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。

今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください！

データ侵害のコストレポート。2020年、IBMセキュリティ ↩
2020年データ侵害調査レポート, 2020年、Verizon ↩
グローバル情報セキュリティ調査, 2020年、EY ↩
M-TRENDSレポート, 2020年、FireEye ↩

Alexis Savkín

Alexis Savkinは、BSC Designerのシニア戦略コンサルタント兼CEOであり、戦略アーキテクチャ＆実行プラットフォームの専門家です。彼は応用数学と情報技術のバックグラウンドを持ち、この分野で20年以上の経験を有しています。Alexisは「戦略実行システム」の著者です。彼は戦略およびパフォーマンス測定に関する100本以上の記事を発表しており、業界イベントで定期的に講演し、その業績は頻繁に学術研究で引用されています。