火曜日は「セキュリティを経営の言葉に翻訳するにはKPIが必要」という話をしました。今日はその次の一手として、KPIを“数字の報告”で終わらせず、経営が動ける「意思決定の材料」に変える1枚の型を置きます。
目次
経営が知りたいのは3つだけ
経営会議で刺さる報告は、情報量の多さではなく「問いの精度」です。セキュリティ報告で経営が本当に知りたいのは、だいたい次の3つに収束します。
- 今、危ないのは何か(どの資産・どの業務に、どれくらいの確度で影響が出うるか)
- 何をすれば止まるのか(打ち手と優先順位、どれをやるとリスクがどれだけ下がるか)
- それにいくら要るのか(人・時間・予算、いつまでに何が変わるか)
KPIは、この3つに答えるための「計器」であって、KPI自体がゴールではありません。
「1枚報告」テンプレ(これだけで回る)
おすすめは、毎月(または隔週)で同じフォーマットの1枚を出し続けることです。ページを増やすほど、読み手は意思決定しなくなります。
上段:信号(緑/黄/赤)を3つ
- 入口(ID/特権/MFA)
- 見張り(検知/ログ)
- 消火(初動/封じ込め)
中段:トップリスク3(各2行)
例(この粒度でOK):
- 「特権IDが多すぎる」:対象資産/影響、根拠KPI(例:特権ID数、棚卸し未実施率)
- 「退職者処理が遅い」:対象業務/影響、根拠KPI(例:無効化リードタイム、残存件数)
- 「重要ログが欠ける」:対象システム/影響、根拠KPI(例:ログ取得カバー率、保全期間)
下段:今月の意思決定が必要な事項(最大2つ)
例:
- 「特権ID棚卸しを全社施策化する(期限・責任者)」
- 「机上訓練を月1で義務化する(対象・所要時間)」
ポイントは「下段」を必ず入れることです。ここがない報告は“読んで終わり”になります。
1枚テンプレ(コピペ用)
以下を、そのままGoogleスライド1枚、PowerPoint1枚、Notion 1ページに貼って使ってください。
【セキュリティ運用 1枚レポート(YYYY/MM)】
- 信号(状態)
- 入口:[緑/黄/赤](根拠KPI:____)
- 見張り:[緑/黄/赤](根拠KPI:____)
- 消火:[緑/黄/赤](根拠KPI:____)
- トップリスク(最大3つ)
- リスク1:____(対象:___/影響:___/根拠KPI:___)
- リスク2:____(対象:___/影響:___/根拠KPI:___)
- リスク3:____(対象:___/影響:___/根拠KPI:___)
- 今月「決めてほしいこと」(最大2つ)
- 決定事項A:____(期限:___/責任者:___/必要予算:___)
- 決定事項B:____(期限:___/責任者:___/必要予算:___)
- 追加メモ(任意:監査・対外説明用)
- 重要インシデント:有/無(概要:___)
- 30分初動の訓練:実施/未(結果:___)
- 次月の論点:____
KPIを「行動」に接続するルール
KPIが形骸化する組織は、閾値を超えても何も起きません。そこで、各KPIに次の3点セットを紐づけます。
- 閾値:例「特権アカウント数が◯以上」「一次対応が◯分を超えたら黄」など
- 行動:黄なら何を止める/何を増やす/誰を呼ぶ、赤なら強制的に何を実施する
- 権限:誰が“止血”できるか(アカ停止、外部共有停止、アクセス遮断の実行権限)
なお、測定が続かないKPIの典型は「データが取れない(集計が重い)」です。NISTの測定ガイドでも、測定値は定量化でき、データは入手しやすいことが重要だと整理されています。nvlpubs.nist
今週やること(60分で叩き台)
- 既存のKPIを9個以内に絞る(入口×検知×対応、各3つまで)
- 1枚テンプレに貼り付け、黄/赤の閾値と「次の一手」を書き切る
- 「意思決定事項」を2つだけ選び、期限・責任者・必要予算を添える
この叩き台を作るだけで、次回の会議からセキュリティが「相談」ではなく「経営判断」の議題になります。
問いかけ
次の経営会議で、セキュリティ担当は「今日決めてほしいこと」を2つ言えますか?
言えないなら、まずはKPIの追加ではなく、1枚報告の“下段(意思決定事項)”を作るところから始めましょう。
参考資料(リンク)
- NIST Cybersecurity Framework (CSF) 2.0(PDF)nvlpubs.nist
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf - NIST SP 800-55 Rev.1(Performance measurement guide for information security:PDF)nvlpubs.nist
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-55r1.pdf - NIST SP 800-55 Rev.2(ドラフト/更新ページ:Measurement Guide for Information Security)csrc.nist
https://csrc.nist.gov/pubs/sp/800/55/r2/iwd - NIST SP 800-55 Vol.1(Measurement Guide for Information Security:Final)csrc.nist
https://csrc.nist.gov/pubs/sp/800/55/v1/final - IPA参考訳:情報セキュリティ パフォーマンス測定ガイド(PDF)ipa
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000bbgd.pdf
