企業の見える化とは、その企業がどのくらいサイバーセキュリティ対策をしていて、耐久性を持っているかを、外部から判断できるということ。
・経営者のリスク管理の姿勢
・セキュリティ予算
・CISOはじめ体制整備
・広報等他部門との連携、訓練
などを総合的に、客観的に評価をする仕組みのことだ。実はこのような評価は、大手企業内部では行われているのが普通、「成熟度チェック」として定期的にフォローされ経営会議等で報告されているはずだ。それではその結果、前回からの変化などを公開すればいいではないかと、僕は主張した。
つまりサイバーセキュリティ対策をして公開した結果、それを評価してくれるステークホルダから、
・新規受注が来る
・株価が上がる
ようなプラス効果を得られるかもしれない。そうなれば、自然とセキュリティ対策に資源が廻るからだ。しかし大手企業、特に努力している企業からは反発の声が挙がった。いわく「成熟度チェックは内部用途に限るべき。外部報告を考えると、本来<リスク管理>すべきところ、チェックリストを埋めようとする<リスト管理>に陥って、本末転倒である」とのこと。
ただ、最近のように業務の外部委託が増えたり、M&Aが増えてくると、いわゆるサプライチェーン攻撃への対処も考え、お付き合いする企業の「成熟度」は知りたいというニーズも高くなった。交渉の最終段階ならともかく、最初のスクリニングで候補10社を3社に絞るようなとき、成熟度の奥まで見せてはもらえない。第三者による客観指標が欲しいのだ。
このところ外資ばかりだが、数社このような「外部評価ソリューション・サービス」を提供する企業が出てきた。そのうちの1社から話を聞けたが、
・企業のドメインを教えてもらえば、どのくらい攻撃されやすいかの評価をします。
・自社の結果報告だけではなく、関係先や競合他社の資料も閲覧可能です。
という。ペネトレーションテストの発展形のようで、インシデント対応の評価までは出来ないかもしれないが、一つの「企業の見える化」ツールだと思う。もう少し詳しい内容を知りたいし、いろいろな進化も図れると思う。こういうサービスが増えて行ってくれること、利用企業が増えることを希望します。