「セキュリティKPI」を“ただの目標”で終わらせない3つの方法とは：セキュリティを指標で管理【後編】

セキュリティの「KPI」を設定した後は、いかにそれを達成するかが重要になる。セキュリティ強化の鍵を握るのは、目標達成に向けた取り組みを継続することだ。そのための要点をまとめた。

[Andrew Froehlich，TechTarget]

　セキュリティを強化したいと考えているユーザー企業は、まずセキュリティの「KPI」（重要業績評価指標）を決めるとよい。受けた攻撃の件数やインシデントへの対処時間、パッチ（修正プログラム）適用に要した時間などを測定することで、セキュリティ体制の現状を把握し、改善策を検討できるようになる。KPIを定めた後は、その目標をどうすれば達成できるのかを検討する必要がある。セキュリティのKPIを達成するための「3つの方法」を紹介する。

「セキュリティKPI」を必ず達成するための3つの方法はこれだ

併せて読みたいお薦め記事

連載：セキュリティを指標で管理

• 前編：セキュリティ効果を「12個のKPI」で見える化　“予算死守”の極意とは？

セキュリティは「意識」することがポイント

• セキュアなアプリケーション開発に求められる「4つの指標」とは？
• ヒューマンファイアウォールとは？　従業員のセキュリティ意識が育つ思考法

　セキュリティのKPIが決まったら、それで安心してはいけない。いかにそれを達成するかが肝心だ。従業員の個々の業績に関するKPIと同様、セキュリティのKPIも担当者が責任を持って管理しなければならない。セキュリティKPI管理の3大ポイントは次の通り。

目標を設定し、定期的に達成度合いを確認する

　セキュリティのKPIを巡って盲点になりがちなのが、指標の設定ではなく、指標に基づいた「目標」の設定だ。「攻撃件数を何パーセント減らしたい」「パッチ適用の時間を何パーセント短縮したい」といった具体的な目標を設定し、どの程度達成できているのか、進捗（しんちょく）をきめ細かに確認しよう。目標設定のポイントになるのは、自社のセキュリティ体制を考え、あくまで実行可能な目標を設定することだ。

進捗状況を把握しやすいダッシュボードを作成する

　KPIの進捗状況を把握するために時間をかけてさまざまなデータを探さなければならないのであれば、あまり長続きしない恐れがある。セキュリティ担当がまず取り組むべきなのは、KPIの進捗状況を一目で分かるダッシュボードの作成だ。ダッシュボードは経営陣や他の部署にも共有できるので、全社的にセキュリティの重要性の理解につながる可能性がある。

必要に応じてKPIを変更する

　セキュリティのKPIは一度決めた後でも、必要に応じて変更して問題ない。むしろ、常にセキュリティ動向を見ながら、必要に応じて迅速にKPIを変更する方が、防御力の向上につながる可能性がある。ビジネスが変われば、セキュリティ要件とそれを満たすために必要なツールやプロセスなども変わる。一度決めたKPIにこだわり過ぎず「今、何をすべきか」を考えてセキュリティ体制を改善するのが望ましい。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。