「AIセキュリティ」のROI測定 経営層を納得させる“3つの指標”:高コストの壁を倒す
「AIを入れれば安全になる」という甘い言葉は、経営層には通用しない。高額なAIセキュリティ導入に不可欠な「ROI」をどう弾き出すべきか。予算承認を勝ち取る方法を解説する。
AI(人工知能)とセキュリティは、技術の進化とともにますます密接に結びついている。企業はAIを活用することで、リスクを低減し、セキュリティ運用の効率を向上させることができる。しかし、AIを取り入れたセキュリティ製品の導入は、高コストがネックだ。ROI(費用対効果)を重視し、AIセキュリティへの投資を回収するには、どうすればいいのか。
AIセキュリティのROI測定方法
AIセキュリティのROI測定に当たり、企業は主に効率向上、リスク低減、コスト回避の3つを考慮する必要がある。
効率向上
セキュリティ運用の効率向上は、最も即時的かつ測定可能なメトリクスだ。AIの利用によって、企業はセキュリティチームの人員を増やすことなく、防御力を高められる。ここでは具体的に、1日当たりに調査したインシデント数、評価したセキュリティ設定の数、対応したアラート数などを測定する。
リスク低減
リスク低減は数字で表すことが難しいが、経営陣に対してセキュリティの重要性を示す上で重要なメトリクスだ。リスク低減の定量化に当たり、脅威検出までの平均時間(MTTD)、対応までの平均時間(MTTR)、脆弱(ぜいじゃく)性の修正の数などの測定が有効になる。AIがセキュリティ設定やパッチ管理の作業時間をどのくらい短縮したかも測定する必要がある。
コスト削減
コスト削減のメトリクスには、侵害による損害のコスト、セキュリティ運用のアウトソーシングのコストなどをどのくらい削減できたかの測定が含まれる。調査会社GartnerやIBMは、侵害のコストに関するベンチマークを提供している。
ROI測定の課題
適切なメトリクスが定義されていても、AIセキュリティのROIを測定するのは簡単ではない。侵害が発生しなかった場合、「AIがそれを防いだ」と証明するのはほぼ不可能だ。この課題はAIに限らず、セキュリティツール全般での問題だと言える。
さらに、ROI計算は「シャドーAI」(非公認のAI)の影響で複雑化する。シャドーAIは情報漏えいをはじめ、さまざまなリスクを生む。AIセキュリティツールのROIを測定する際に、シャドーAIによるリスクを考慮しないと誤った結果になる。全てのAI使用状況を把握することが、信頼できるROI分析の前提条件だ。
AIセキュリティツールのパフォーマンスは、分析対象になるデータや運用プロセス、人材のスキルに依存する。AIセキュリティツールのログ記録が欠けたり、運用プロセスが十分に確立していなかったりする企業は、不正確なROI測定につながる恐れがある。
ROI測定のベストプラクティス
ここでAIセキュリティを実装する際のベストプラクティス(最適な方法)を見てみよう。
ビジネス課題の解決から始める
AIセキュリティを導入する前に、解決が必要なセキュリティの具体的なビジネス課題を定義する。そして、解決がどのような形(指標)で測定されるべきかを決める。このような手法によって、ROI測定がしやすくなる。
「人間」も設計に含める
AIセキュリティの実装に当たり、人間を排除しないことが大切だ。AIセキュリティは人間を置き換えるのではなく、人間の判断をより迅速かつ情報に基づいたものにするために利用される。AIが提案した脅威対処がどのくらい迅速かつ効果的に実行されているかを追跡すれば、ROIの測定も容易になる。
相手に合わせたROI報告ストーリー
AIセキュリティのROIについてセキュリティ担当者が経営陣に報告する際には、セキュリティ指標をビジネス成果に翻訳する必要がある。報告のトピックは、リスクの低減、コストの回避、競争力の向上などが含まれる。一方で、セキュリティチームに報告する際には、AIがどのように仕事をより効果的にしているかを示す必要がある。
導入前に基準を確立する
比較がなければ、ROIを示すことはできない。AIセキュリティを導入する前に、MTTDやMTTR、アラート数、未修正の脆弱性数などの関連指標を記録する。これらは、ROIに関する基礎となる。
定期的な見直しと再調整
脅威の状況は急速に進化する。そのため、AIセキュリティも定期的に見直し、再調整することが必要だ。四半期ごとにAIセキュリティのレビューを実施し、特定のツールがコストに対して期待外れの場合には廃止を検討する。
Copyright © ITmedia, Inc. All Rights Reserved.