このブログ記事はteissが2022年6月13日に発表したもので、許可を得てここに転載している。
伝統的に、ビジネスリーダーは、セキュリティ支出を必要悪のようなものと考えてきた。ビジネスの安全を維持するために割り当てなければならない費用であると同時に、ビジネスに投資する予算を食い潰すコストでもあった。一方、セキュリティ・チームは、組織の安全な運営を維持するためにセキュリティ対策が不可欠であることから、当然のことながら、セキュリティ対策は予算の優先事項であるべきだと考えてきた。
どちらも正しい。
セキュリティへの支出は、組織の安全を守るだけでなく、そうすることで競争上の優位性を生み出し、ビジネス目標を成功裏に追求するためのより多くの努力を可能にする。セキュリティは、組織を安全な障壁で囲い込むために作られた壁だと考えがちだが、この文脈では、セキュリティは架け橋だと考えることが役に立つ。セキュリティは、ビジネスが世界とつながり、より多くのことを達成することを可能にするものである。
セキュリティはコストセンターなのか、それともイネーブラーなのかという問いは、今に始まったことではないが、近年、次のような観点から、新たな重要性を帯びてきている。 予想される安全保障支出の増加 ハイブリッドワークへの移行、クラウド運用の台頭などに伴い、従来のセキュリティ境界は崩壊しつつある。しかし、ビジネス・リーダーシップとセキュリティ・リーダーシップが足並みをそろえ、安全かつ大胆であることにコミットしていれば、その投資は十分に回収できる。
セキュリティをビジネス活性化のツールとして使用するには、組織が自社のリスクとその管理コスト、および管理しない場合のコストを把握する必要がある。例えば、ユーザー・アカウントを管理するための強固な自動化システムのコストと、これらのアカウントが管理されずに漏えいした場合のコストとでは、どちらが大きいだろうか。後者のコストは、GDPRに違反した場合の罰金など、個人情報が流出した場合のコストである。しかし、顧客の信頼や組織の評判にかかるコストはどうだろうか。その代償は計り知れないかもしれず、企業は長い長い時間をかけてその代償を払うことになるかもしれない。
今日の組織は、強固なセキュリティを持つことのビジネス価値をますます認識するようになっている。 強固なセキュリティとビジネスの成功の相関関係.そして、新しい傾向として、 サイバーセキュリティ委員会 が設立され、企業の取締役会レベルの監督下で運営されている。要点:ビジネスリーダーが、強力なセキュリティチームを持つことによるマーケティング上の価値やその他のビジネス上のメリット、また、強固なセキュリティを持たないことによる莫大なコストを理解すれば、セキュリティとビジネスリーダーの関係は敵対的なものではなく、より協力的なものになる。
ビジネス・イネーブラーとしてのセキュリティは、セキュリティの多くの分野を包含することができるが、それを語るのに適した場所は、アイデンティティとアクセス管理(IAM)である。今日、多くのデータ漏洩がユーザー認証情報に関与していることを考えると(2021年版の ベライゾン・データ侵害調査報告書)、ID は間違いなくセキュリティ投資が重要な分野である。結局のところ、組織がセキュリティに費やすのは、最大の利益が得られる(または最もリスクが高い)分野に限られる。
リソースへのアクセスのフロントエンドにアイデンティティ・セキュリティがなければ、何者かがシステムや情報への不正アクセスを行うことで、組織は莫大な財務的影響やその他の影響を被る可能性がある。次のことを考えてほしい。 コロニアル・パイプライン、2021年にデータ漏洩, 例えば、ハッカーが漏洩したパスワードを使用して組織に侵入した場合などである。つまり、セキュアでないビジネス環境がもたらす結果を恐れるのではなく、セキュアに運営することで得られる金銭的なメリットやその他の利益を自信を持って追求することができるのです。
###
インゴ・シューベルトとteissの対談をご覧ください。ビジネスを実現するセキュリティ.”
