先週金曜に「最初の30分が勝負」と書きましたが、あれを“属人技”で終わらせると、次の事故でまた同じ混乱が起きます。

経営が継続的に投資できる形にするには、セキュリティを「安心感」ではなく、運用の数字で語れるようにする必要があります。
NISTのCSF 2.0も、経営層と実務側のコミュニケーションを成立させるための“共通言語”として機能することを重視しています。​

目次 [ close ]
  1. なぜKPIがないと負けるのか
  2. KPIは「4種類」だけでいい
  3. 「現場が回る」KPI設計のコツ
  4. 今週やること(テンプレつき)
  5. KPI 1枚シート(コピペ用テンプレ)
  6. 参考資料(リンク)

なぜKPIがないと負けるのか

セキュリティは「起きなかったこと」を成果として示しにくい仕事です。
そのままだと、予算会議では「売上に直結する施策」に押し負け、ツールも人も後回しになります。

だから、経営が意思決定できる最低限のKPI(状態を示す計器)が必要になります。
NISTの測定ガイド(SP 800-55)は、セキュリティの統制や活動の妥当性を“測定(measurement)”で把握する考え方を整理しています。​

KPIは「4種類」だけでいい

たくさん作るほど現場が疲れ、形骸化します。まずは次の4種類に絞るのが現実的です。

  • 入口の健全性:特権アカウント数、MFA適用率、退職者アカウントの残存ゼロ(目標:ゼロが維持できる運用)
  • 検知の実効性:重要アラートの月間件数、誤検知率、一次対応のリードタイム(“気づいて動けるか”)
  • 対応の速度:封じ込めまでの時間、復旧までの時間、同種事故の再発率(“小さく止められるか”)
  • 仕組みの定着:机上訓練の実施回数、手順の更新頻度、引き継ぎ完了率(“属人化していないか”)

ポイントは「高度なセキュリティ指標」より、「行動に直結する指標」を先に置くことです。

「現場が回る」KPI設計のコツ

KPIを作るときに失敗しがちな罠が3つあります。

  • 罠1:集計が大変すぎる → 手作業集計が必要なKPIは、3ヶ月で死にます(自動で取れる/半自動で取れるものに限定)。データが取得しやすい指標を選ぶべき、という考え方はNISTの測定ガイドでも強調されています。rmf
  • 罠2:現場がコントロールできない → “脅威の総数”ではなく、“自社が動けたか”を測る指標に寄せる(例:MTTD/MTTR、封じ込めまでの時間)。
  • 罠3:数字が良くても安全にならない → 「MFA率100%」でも“特権が多すぎる”なら危険、セットで見る。

なので最初は、「入口×検知×対応」が1枚で見える形にしてください(理想は週次で更新、無理なら月次でもOK)。

今週やること(テンプレつき)

1時間で叩き台を作れます。

  1. “守る対象トップ3”を決める(例:顧客データ、請求/決済、基幹業務の継続)
  2. 各対象に対して「入口・検知・対応」のKPIを1つずつ置く(計9個が上限)
  3. KPIごとに「担当(誰が)」「更新頻度(いつ)」「閾値(超えたら何する)」を1行で書く
  4. 経営向けには、信号(緑/黄/赤)の判断だけで見せる(数値の細部は別紙)

KPI 1枚シート(コピペ用テンプレ)

守る対象入口KPI(Prevent)検知KPI(Detect)対応KPI(Respond)担当更新頻度閾値(黄/赤)超えたら何する
例:顧客データMFA適用率(%)重要アラート一次対応LT封じ込めまでの時間例:情シス月次黄:◯◯、赤:◯◯例:例外ID棚卸し、監視ルール修正
例:請求/決済特権ID数監視カバー率(対象/全)復旧までの時間例:CSIRT月次黄:◯◯、赤:◯◯例:特権剥奪、復旧手順訓練
例:業務継続退職者ID残存(件)誤検知率(%)再発率(%)例:各部門月次黄:◯◯、赤:◯◯例:運用見直し、教育、手順改訂

これで、先週金曜に書いた「最初の30分」の動きも、“訓練→計測→改善”のループに乗せられます。

参考資料(リンク)