CISOが直面する「伝わらない」課題
経営会議でセキュリティ報告を行う際、多くのCISOが共通の壁に直面しています。
「脆弱性が42件検出されました」「ランサムウェアのリスクは”高”です」──技術的には正確な報告であっても、経営層からは「それで、どうすればいいの?」という反応が返ってくる。
この背景には、セキュリティと経営の間に”言語の壁”が存在するという構造的な問題があります。経営層が知りたいのは、リスクの技術的な深刻度ではなく、ビジネスへの影響度です。具体的には:
- このリスクを放置すると、どれくらいの損失が発生しうるのか
- 対策に投資した場合、どれだけリスクを低減できるのか
- 同業他社と比較して、自社のリスク水準はどの程度か
こうした問いに答えるために生まれたのが、CRQ(Cyber Risk Quantification:サイバーリスク定量化)というアプローチです。
CRQとは何か
CRQは、サイバーリスクを「高・中・低」といった定性的な表現ではなく、金額や確率といった定量的な指標で評価する手法です。
定性評価との違い
| 観点 | 定性評価 | CRQ(定量評価) |
|---|---|---|
| リスクの表現 | High/Medium/Low | 年間想定損失〇〇億円 |
| 優先順位づけ | 主観的判断に依存 | 金額ベースで比較可能 |
| 投資判断 | 根拠の説明が困難 | ROIを算出可能 |
| 経営報告 | 技術用語中心 | ビジネス言語で説明 |
例えば、「ランサムウェアリスクは”高”」という報告は、CRQでは「ランサムウェア被害による年間想定損失は約1.8億円」という形に変換されます。
この違いは、経営判断において大きな意味を持ちます。前者では対策の優先度や投資規模を決めにくいのに対し、後者では他のビジネスリスクと同じ尺度で比較検討が可能になります。
CRQの代表的手法:FAIRモデル
CRQを実現する手法として、グローバルで最も普及しているのがFAIR(Factor Analysis of Information Risk)です。
FAIRでは、リスクを以下のシンプルな式で定義します:
リスク = 損失イベント発生頻度 × 損失規模損失イベント発生頻度(Loss Event Frequency)
一定期間内に損失イベントが発生する確率です。脅威の発生頻度と、その脅威が防御を突破する確率から算出します。
損失規模(Loss Magnitude)
1回の損失イベントで発生する被害額です。以下の2種類に分類されます:
- 一次損失:インシデント対応費用、フォレンジック費用、システム復旧費用など
- 二次損失:賠償金、規制対応コスト、レピュテーション低下による機会損失など
本記事では詳細は留め、その他のコンポーネントや計算方法については別の記事で紹介します。
具体例
例えば、簡単な例で、ある企業で「重要システムへのランサムウェア感染による事業停止リスク」を評価したとします。
リスクシナリオの評価には、攻撃者目線でのシナリオ分析や、FAIR専門家によるリスク顕在化時のビジネスインパクト測定が必要ですが、その結果として以下のように導出することが可能です。
対象シナリオ:重要システムのランサムウェア感染による事業停止リスク
発生頻度:年間10%(10年に1回程度)
損失規模:5億円(対応費用+事業停止損失+賠償等)
年間想定損失:3,000万円
上記のようにリスクを定量化することで、経営層と金額ベースでリスクの大きさに関する共通認識を持つことができます。その結果、経営戦略としてセキュリティ投資の妥当性やROIを示すことが可能になります。
なぜ今、CRQが注目されているのか
グローバルでの採用拡大
FAIRを採用する企業は急速に増加しています。FAIR Instituteの調査によると、Fortune 1000企業の約45%が何らかの形でFAIRを採用または検討中とされています。
導入企業の例:
Netflix:複数の脆弱性が報告された際、FAIRでビジネスインパクトを評価し、対応優先順位を決定
Fidelity Investments:セキュリティ投資の効果を金額で示すことで、経営層への説明を効率化
Highmark Health:不確実性を「レンジ」で表現できるFAIRの柔軟性が、医療業界の特性と合致
日本における規制動向
日本でもCRQへの関心が高まっています。
- 金融庁:2024年10月施行のガイドラインで、サイバーリスク管理体制の高度化を要求
- 経済産業省:サプライチェーンセキュリティ評価制度を2026年度から本格運用予定
これらの動きは、サイバーリスクを経営リスクとして捉え、定量的に評価・報告する必要性が高まっていることを示しています。
CRQ導入のメリット
1. 経営層との共通言語を確立できる
組織内の各ステークホルダーは、サイバーリスクに対してそれぞれ異なる関心を持っています:
CEO / 取締役会
サイバー攻撃による企業イメージの低下を避けたい。十分な対策ができているか知りたい。
CFO
サイバーリスクの財務的な影響を把握したい。
CIO
セキュリティ予算が適切に使われているか、投資対効果を確認したい。
監査部門
指摘事項が適切に対応されているか確認したい。
CRQは「想定損失額」という共通指標を提供することで、こうした異なる関心に対して一貫した回答を可能にします。
例えば、「年間想定損失12億円のリスクに対し、2億円の対策投資で40%のリスク低減が見込める」という形で説明できれば、CEOは対策の妥当性を、CFOは投資判断の根拠を、同じ数字から理解できます。
技術用語ではなくビジネスインパクトを軸にすることで、立場の異なるステークホルダーが同じ土俵で議論できるようになります。
2. 投資対効果(ROI)を可視化できる
CRQを活用すれば、セキュリティ対策のROIを定量的に示すことが可能です。
例:多要素認証(MFA)導入の効果測定
導入前の年間想定損失:5.4億円
導入後の年間想定損失:2,000万円
リスク低減効果:5.2億円
導入・運用コスト:3,000万円/年
ROI:投資額3,000万円に対して、5.2億円のリスク低減効果が期待できる。
このような数字があれば、セキュリティ投資を「コスト」ではなく「リスク低減のための投資」として位置づけることができます。
3. 既存フレームワークと併用できる
FAIRは、NIST CSFやISO 27001といった既存のセキュリティフレームワークと併用可能です。定性的な評価プロセスに定量的な視点を加えることで、どのコントロールがリスク低減に最も効果的かを可視化できます。
「完璧なデータがない」という懸念への回答
CRQ導入を検討する際によく聞かれるのが、「正確なデータがないと評価できないのでは」という懸念です。
FAIRは、この点において現実的な設計がなされています:
- レンジでの表現:単一の金額ではなく「1,000万〜5,000万円」のような幅で結果を示す
- 専門家判断の活用:過去データがない場合でも、専門家の見積もりをベースに評価可能
- 段階的な精緻化:最初は粗い評価から始め、データ蓄積とともに精度を向上
重要なのは、「完璧な数字」を出すことではなく、意思決定に使える情報を提供することです。
まとめ:リスクを経営の言葉で語る
CRQは、サイバーセキュリティを技術課題から経営課題へと昇華させるためのアプローチです。
「リスクは高いです」から「年間想定損失は12億円です」へ。この変化は、CISOが経営層と同じ土俵で対話するための重要な一歩となります。
次回は、CRQを実際に導入する際のステップと、日本企業特有の留意点について解説します。
CRQ導入をご検討の方へ
NeoSecurityでは、サイバーリスク定量化(CRQ)の導入支援を行っています。
「自社のリスクを金額で把握したい」「経営層への報告を改善したい」といったご相談がございましたら、お気軽にお問い合わせください。
お問い合わせはこちら