【サイバーセキュリティに取り組む組織力】第4回 目指す組織の力｜継続的な自律改善プロセスを回す組織へ

2025年12月19日2026年1月8日サイバーセキュリティに取り組む組織力

こんにちは。

突然ですが、私は長く務めた事業会社を昨年卒業して以降、様々な会社のIT戦略やセキュリティ戦略の立案・執行の支援をさせて頂いています。お陰様で各社各様の「文化」や「言葉遣い」があることに改めて気づきました。かく言う私の古巣にも独自の言葉はあります。

例えばPDCAという言葉は広く流通しているので説明の必要はないと思いますが、私の古巣ではそのサイクルがC（Check）から始まるべきだという考えからCAPDサイクルとして語られるケースが多くありました。現状の出来栄え・身の丈を知るところから物事が始まるという発想は私自身もしっくり来る考え方でした。今回のお話はこのCAPDサイクルが根幹部分にあります。

前回も書きましたが、どれだけセキュリティ対策を実施してもサイバー攻撃を100%防ぐことは無理でしょう。

100%を求めたくなる気持ちは分かるし、現に実際の経営層からもそのような発言が聞こえます。しかし失礼ながらそれはあまりにも理解が足りないし、ただでさえ忙しいセキュリティ責任者をそんな不毛な議論に巻き込まないでほしいというのが正直なところです。例えば下記の本などを読んでみてもらうと100%が無理なことの一つの側面が理解できるのではないでしょうか？

本にも出てくるゼロデイのような攻撃を完全に防ぐのは無理ですし、それだけでなく攻撃者が常に進化している状況を考えれば、企業のできる事は自社の守りが今日の環境でも通用するかを評価し、その結果から必要なアップデートを実施するプロセスを継続的に実施することです。

このようなプロセスの定着度合いはセキュリティ対応力の成熟度ともいうべき組織の力であり、100%がない中で組織が目指すべきはこの成熟度を高めることだと私は思います。

今回はそのプロセスの勘所について書きます。

まず初めにお伝えすべきことは、セキュリティ戦略が経営マターであるがゆえにCAPDサイクルにも経営層との意思疎通を盛り込む必要があるという点です。これがないと経営戦略とセキュリティの向かうところに齟齬が生じてしまうので、ここは重要です。

経営層に承認してもらうことで、例えば新規に追加で導入すべきセキュリティツールに関する予算も確保しやすくなります。その意味で私がお勧めするのは１年に１回のペースで前述のサイクルを回すことです。

多くの会社では年度の経営計画の中で予算が決まっていて、それに基づいて費用執行をしていきます。その予算は前年度中に策定されるため、P（Plan|計画）のフェーズで盛り込んだ新規のセキュリティツールの費用を予算策定時に計上しておくことで、翌年度の実施がしやすくなります。これが１回/年をお勧めする背景です。

ではCAPDサイクルの中身を見ていきましょう。

【Check】

• 「守りの方」をチェックリストとして自社の出来栄えを評価する（前回の記事にて解説）
  セルフチェックを実施することは、自社のセキュリティチームのケイパビリティ向上の面からも◎です。
• 客観性を高める意味から、第三者によるセキュリティアセスメントやペネトレーションテスト等の評価を数年に一度のサイクルを決めて実施することもお勧めします

【Act】

• リスクの高い部分を特定し、対処の優先順位を決める（Risk Based Approach）
• 自社の守りの状態とリスクを経営層に説明し、経営課題としての認識を促す

【Plan】

• 新たに認識したリスクへの対応をセキュリティ対策計画（ロードマップ）に反映する
• 更新されたセキュリティ戦略（守りのストーリー）を経営層に説明し、理解を得て、予算を承認してもらう

【Do】

• 計画（＝経営層との約束）に沿って施策を実施する

どうでしょうか？　流れとしては難しくはないと思いますが、実際にやってみるといろいろ難しさに直面するかもしれません。

よく聞く難しさの一つは、経営層にセキュリティ戦略を理解してもらうことです。セキュリティ責任者として経営層には全体を理解してほしい気持ちは分かりますが、全ての保護策を説明するようなやり方じゃ伝わらないし、忙しい経営層をつき合わせるのは可哀想です。

こんな時に私が支援先の企業にお勧めするのは、下記のようなチャートで守りの全体像を提示し、どこが弱いから補強が必要だ、と説明する作戦です。その際にその補強策によって軽減できるリスクも合わせてしっかり説明することが肝要です。ちなみにこのチャートは「NIST CSF」と「CISA（※1） Zero Trust Maturity Model」の両方からヒントを得たものです。このチャートの良し悪しは置いといて、大局観を（素人に！）伝える努力はセキュリティチームに欠かすことができません。

※1：CISA： Cybersecurity & Infrastructure Security Agency

 記載はできるだけシンプルに主要な項目のみにすることで、経営層への説明の際に論点を絞ることがお勧めです。例えば、「デバイス」の「防御」に“EDR（※2）”が載っているのに、その下の「検知」が空白になっているようなケースでは、“SOC（※3）”導入の必要性を視覚的に訴える一助となるでしょう。

※2：Endpoint Detection and Response

※3：Security Operation Center

さてCAPDサイクルは分かったけど、セキュリティ対策をどの水準まで実施すればいいの？という疑問があるかもしれません。正直なお話、この問いには単純な正解はないです。

目指すべき水準は、その企業の状況（ビジネスモデル、守るべき情報資産の質と量、企業規模、攻撃ターゲットとしての魅力度など）を勘案して決めることになるわけですが、常に考えるべきはリスクの許容度でしょう。自社が負えるリスク水準を決めて、そのレベルまでセキュリティ対策でリスク軽減を図るというのが原則です。

言い換えると、セキュリティ対策にどれほどのカネと手間をかけて、どの水準までセキュリティリスクを下げるのか、ということです。ここは経営層としっかり議論した上で意志を持って決めるべき事柄です。

さて「サイバーセキュリティに取り組む組織力」というタイトルで書いてきたこれまでの記事の中でも触れてきた通り、組織力を左右するのはセキュリティ責任者の存在です。難しい役回りですが、あえて求められる資質を書いてみるならば下記のようなものになると思います。

• 経営層と意思疎通できる人
  →ここが弱いと実効性のある対策は打てない
• ガバナンスを効かせられる人
  • セキュリティ戦略の実効性には組織全体への徹底が不可欠（「蟻の一穴」を防ぐ）
  • 子会社や取引先の防御まで考える必要あり
• チームで成果を出せる人
  • チームとして必要となる多様なスキルを、適切に人選しチームとして力を発揮させるマネジメント力
  • 守れて当たり前、攻撃を許したら責められるみたいな風潮に抗って、メンバーを勇気づけ、正当に評価する
• アンテナを高く張れる人
  • 社外とのコミュニケーションを保ち、環境変化を自社にフィードバック

最後まで読んでいただきありがとうございました。

サイバーセキュリティへの取り組みは一朝一夕に成し遂げられるものではありませんが、一方で取り組むべき道筋はあります。道筋に沿って着実に自社の守りを固めていく際に、このブログの内容が少しでもお役に立てれば幸いです。

一方、道筋に沿いたくてもセキュリティ責任者に適任の人材がいなかったり、「守りの方」はどれを使えばいいか迷ったり、また「守りの方」に書かれている内容が難し過ぎたりと様々な困難に直面されるケースもあると思います。弊社では御社の人材と組織の力に関する支援を様々な側面から行っていますので、ぜひ気軽にお問い合わせください。

以上