Day 81 サイバーセキュリティリスク:意思決定につながる「言葉」Cybersecurity Risk: The Language That Gets Decisions Made
サイバーセキュリティリスク:意思決定につながる「言葉」
人間中心のサイバーセキュリティ。
身の丈にあったセキュリティ。
そして、集合的サイバー防衛。
この3つの観点から、私はサイバーセキュリティを捉えてきました。
今日からは、これらを概念として語るのではなく、リスク管理という現実の文脈に引き戻して考えていきます。
私たちは、本当に安全なのでしょうか。
それとも、ただ忙しく動いているだけなのでしょうか。
多くの組織が立ち止まってしまう理由は、セキュリティ対策が足りないからではありません。
日々起きているセキュリティの現実を、経営の判断に使える「リスクの言葉」へ置き換えられていないこと。
そこに、本当の難しさがあります。
- どこから直すのか。
- 何にお金をかけるのか。
- どこまでを受け入れるのか。
- そして、何をやめるのか。
リスク評価は、報告書を作るためのものではありません。
経営層が考え、決め、動くためにあります。[1]
このサイバーセキュリティリスクシリーズで、私たちが目指すゴールは、とてもシンプルです。
同僚と、上司と、経営陣と、 「きちんと会話ができる」サイバーリスクマネジメントをつくること。それを、彼らが生きた判断材料として使える形で。
共通の言葉があり、今どこに注意を向けるべきかが分かるシグナルがあり、それをどう判断するのかについて、共通の基準がある。
そして、それらが一過性ではなく、継続的に共有され、使われている。
そんな運用モデルを、一気にではなく、ブロックを積み上げるように整えていきます。
本当にスケールするリスクマネジメントとは
成熟した組織は、フレームワークを「導入」することに力を注ぎません。
代わりに、運用モデルをつくります。
実際にスケールするのは、立派な図や完成度の高い資料ではありません。
スケールするのは、
- 共通の言葉
- 繰り返し使える測定
- 人が入れ替わっても残る判断ルール
これらがそろってはじめて、リスクマネジメントは「一度きりの取り組み」ではなく、システムとして機能するようになります。
測れれば、管理できる。
リスクが測定可能になれば、管理可能になる。そして管理できるようになってはじめて、人・プロセス・システムを横断して集約され、経営や取締役会で使える判断材料になります。
このシリーズも、同じ考え方で構成しています。
一度にすべてを示すのではなく、システムをつくるように、少しずつ積み上げる。
ひとつひとつのブロックは、単体でも使え次のブロックと無理なくつながり特別な頑張りがなくても回ることを前提に設計されています。
それが、リスクマネジメントを一過性の施策で終わらせず、人が変わっても続くものにするための条件だからです。
リスクマネジメントは、セキュリティ部門だけの仕事ではありません。
組織全体で取り組み、リーダーが責任を持つものです。
セキュリティは、それを支える存在。
最終的に判断し、その結果を引き受けるのは、ビジネスです。[2]
なぜ、日本では特に難しいのか(観察に基づく仮説)
では、なぜこの「リスクを言葉にして、判断につなげる」ことが、日本では特に難しく感じられるのでしょうか。
理由は、技術力の不足ではありません。意識の低さでもありません。
むしろ逆で、真面目さと配慮の文化が、難しさを生んでいる面があります。
日本の組織では、「問題をはっきり言うこと」が、誰かを責めることや、波風を立てることと結びつきやすい。
その結果、リスクはこう表現されがちです。
- できれば起きてほしくないこと
- 念のため気をつけておくこと
- 万一に備えておくこと
どれも間違いではありません。でも、これらは 判断の言葉ではないのです。
もう一つ、日本特有の難しさがあります。
それは、「安全であること」が前提になりやすいという点です。
事故やトラブルが起きていない状態が続くと、リスクは「ないもの」「考えなくてよいもの」になりやすい。
結果として、
- どこまでが許容できるリスクなのか
- どこからが受け入れられないリスクなのか
- その線を誰が決めるのか
が、言葉にされないまま、暗黙知として残ります。
しかし、サイバーセキュリティでは、暗黙の前提は、最も脆い部分になります。
だからこそ必要なのは、強い言葉でも、恐怖でもありません。
必要なのは、リスクを「責め」ではなく、判断の材料として、静かに言語化することです。このシリーズで扱う「リスクの言葉」は、誰かを追い詰めるためのものではありません。
リーダー、ビジネス、経営が、同じ前提に立ち、考え、選び、その結果を引き受けるための、共通の土台です。
日本の組織だからこそ、この丁寧な言語化が、リスクマネジメントを前に進める鍵になります。
「サイバーリスク」は何に答えなければならないのか(ただ計算するだけでは足りない)
リスクは「発生確率 × 影響度」。 多くのフレームワークが、そう教えます。必要です。ただし、それだけでは、判断はできません。
もしサイバーリスクの取り組みが、次の問いに平易な言葉で答えられないとしたら、それは経営の場では機能しません。
- 私たちのミッション、あるいは事業目標を止めてしまう可能性は何か。
- 今この瞬間、どこに一番の弱点があるのか。
- 経営として受け入れられる損失はどこまでで、何が許容できないのか。
- では、次に何をするのか――具体的に。
サイバーセキュリティリスクは、報告書ではありません。
技術の現実と、経営の判断が出会う場所です。[2]
繰り返し使え、説明にも耐える定義
ダッシュボードや閾値、取締役会向けの報告を考える前に、まず必要なのは、実際の会話に耐えられる定義です。
セキュリティチームだけでなく、経営層、監査、そして取締役会でも通用する言葉であること。それが前提になります。
このシリーズでは、次の定義を軸に進めていきます。
サイバーセキュリティリスクとは、脅威が脆弱性やその他の前提条件を突き、
一定の発生可能性のもとで、組織にとって意味のある影響を生み出す可能性のことです。[1]
この定義は、意図的に「実務的」に作られています。
自然と、次の点を言葉にせざるを得なくなるからです。
- 誰が/何がリスクを生むのか(脅威)
- どこに弱点があるのか(脆弱性や前提条件)
- なぜ問題なのか(組織が本当に重視しているものへの影響)
そしてもう一つ、重要な効果があります。議論の軸を、ツールや対策の話から「結果」の話へと移すことです。
次のような平易な表現も使います。
サイバーセキュリティのリスク評価とは、脅威や弱点を整理し、影響を見極め、
組織が行動できるように対策の優先順位をつけるための、体系的な取り組みです。[4]
この言い方から、はっきりすることが二つあります。
リスク評価は、問題を列挙するためのものではない。
何から手を打つかを決めるためのものです。
ここには、バズワードも、ベンダー用語も、意味のないスコアリングの儀式もありません。
あるのは、意思決定の意図だけです。
だからこそ、この定義は繰り返し使えます。そして、問い直されても耐えられます。
設計レビューでも、経営会議でも、監査の場でも、取締役会でも。
サイバーセキュリティリスクを、組織の運用システムの一部として機能させるための、共通言語になるからです。
リスクのための共通言語(意思決定がぶれないために)
サイバーセキュリティリスクとは何か。
その定義に合意できたとしても、次に立ちはだかる課題は、技術ではありません。
言葉です。
多くの組織がつまずくのは、データが足りないからではありません。リスクについて、皆が違う言葉で話しているからです。
- セキュリティチームは、対策やコントロールの話をする。
- エンジニアは、脆弱性の話をする。
- 経営は、断片的な情報を聞かされ、判断を求められる。
こうして少しずつ、話がずれていきます。
誰かが悪いわけではありません。ただ、共通して使える言葉がないだけなのです。
このずれを防ぐために、このシリーズでは「共通のリスク言語」を前提にします。
それは、ポリシーでも、フレームワークでもありません。リスクをどう表現するかについての、実務的な合意です。判断につながる形で、リスクを語るための約束ごとです。
リスクの書き方を一つにする(対策の話にすり替わらないために)
すべてのリスクは、次のシンプルな形で表現します。
もし[脅威や出来事]が[資産・プロセス・人]に起きた場合、私たちは[目的への影響]を失う・得る可能性がある。
この形は、見た目以上に重要です。
- 何が起きうるのか。
- どこが弱いのか。
- なぜ問題なのか。
それを、はっきりと言葉にせざるを得なくなります。
同時に、よくある失敗も防いでくれます。ツールや対策のリストを、リスクそのものと勘違いしてしまうことです。
対策は、判断のあとに出てくるもの。リスクは、経営がどう動くかを決めるための材料です。この形で書けないものは、まだ経営に持っていく準備ができていません。
影響の見方をそろえる(リスクを比べられるようにするために)
リスクの議論を、セキュリティ部門の外でも使えるものにするには、影響の捉え方をそろえる必要があります。
このシリーズでは、影響を常に次の三つの視点から見ます。
- 人
安全、信頼、生産性、内部不正、教育や支援の不足 - プロセス
業務の遂行、承認、案件対応、取引先との連携、コンプライアンス - 技術・システム
可用性、完全性、機密性、サービス停止
これは、網羅するためではありません。比べられるようにするためです。
毎回違う切り口で影響を語っていては、リスク同士を並べて考えることができません。
同じレンズで見るからこそ、経営は優先順位をつけることができます。
そして後になって、人・プロセス・システムを横断して集約し、経営や取締役会向けの報告につなげることができるのです。[3]
リスクは、最終的に何のためにあるのか(意思決定のため)
リスクマネジメントは、不確実性を説明するためにあるのではありません。
どう動くかを決めるためにあります。だから、すべてのリスクは、最終的に次のいずれか一つに行き着かなければなりません。
- 低減する(Reduce / Mitigate)
発生確率や影響を下げる - 避ける(Avoid)
その活動をやめる、あるいは設計を変える - 移す・分かち合う(Transfer / Share)
保険、契約、外部委託などを通じてリスクを分散する(統制を伴って) - 受け入れる(Accept)
ただし、それが許容範囲内である場合に限る
これによって、リスクマネジメントは本来あるべき場所に戻ります。
セキュリティ部門の中ではなく、経営とミッションのレベルで扱われるものとして。[2]
もしリスクが、何の判断にもつながっていないとしたら、それはまだ「終わっていない」リスクです。
なぜ、これが重要なのか
リスクは、抽象的な「姿勢」や「方針」のままではいけません。
運用できる形に落とす必要があります。そうして初めて、リスクは測れるものになります。
測れれば、管理できる。管理できれば、統治できる。[1]
共通の言葉がなければ、リスクマネジメントは報告書を生みます。
共通の言葉があれば、意思決定を生みます。
明日は、「リスクは悪だ」という思い込みをほどき、成熟した組織が NIST CSF 2.0 を手がかりに、被害を避けるだけでなく、理解した上で「はい」と言える判断力をどう育てているのかを見ていきます。
ーーー
Cybersecurity Risk: The Language That Gets Decisions Made
Are we secure, or are we just busy?
Most organizations don't stall because they lack controls.
They stall because they cannot translate security reality into decision-ready risk.
What to fix first.
What to fund.
What to accept.
And what to stop doing.
A risk assessment does not exist to generate paperwork.
It exists to inform senior leaders' actions and priorities. [1]
By the end of this cybersecurity risk exploration, we aim for one outcome:
Board-ready cyber risk management--
built block by block into an operating model with shared language, measurable signals, clear decision rules, and a reliable reporting cadence.
Risk management is organization-wide and leadership-owned.
Security enables it.
The business owns it. [2]
What "Cyber Risk" Must Answer
(Not Just Calculate)
A common shorthand defines risk as likelihood × impact.
Useful--but incomplete.
If a cyber risk program cannot answer the following questions in plain English, it will not survive contact with leadership:
- What could stop our mission--or our objectives?
- Where are we exposed right now?
- What level of loss are leaders willing to live with, and what is not acceptable?
- What do we do next--specifically?
Cybersecurity risk is not a report.
It is the interface between technical reality and leadership action. [2]
What Actually Scales in Risk Management
Mature organizations don't adopt frameworks.
They build operating models.
What actually scales is not a diagram--it is:
- consistent language
- repeatable measurement
- decision rules that survive personnel changes
That is what allows risk management to function as a system, not a one-time project.
Your internal deck captures this operational reality precisely:
measured → managed
Once risk is measurable, it becomes manageable.
And once manageable, it can be aggregated--across people, process, and systems--into decision-grade management and board reporting.
This series is built the same way systems are built.
Not by introducing everything at once,
but one block at a time.
Each block is designed to:
- stand on its own
- connect cleanly to the next
- and eventually operate without heroic effort
That is how risk management becomes sustainable--
long after the original designers have moved on.
A Definition We Can Reuse (and Defend)
Before dashboards, thresholds, or board reports, we need a definition that survives real conversations--across security teams, executives, auditors, and boards.
Here is the definition we will carry forward:
Cybersecurity risk is the possibility that threats exploit vulnerabilities (and predisposing conditions) to create impacts that matter to the organization with a given likelihood. [1]
This definition is intentionally practical.
It forces us to name:
- who or what creates the risk (threats),
- where we are exposed (vulnerabilities and conditions), and
- why it matters (impact on what the organization actually cares about).
It also does something subtle but critical:
it shifts the conversation away from tools and toward consequences.
For non-technical audiences, we will use a plain-language complement:
A cybersecurity risk assessment is a structured way to identify threats and weaknesses, evaluate impact, and prioritize mitigation so the organization can act. [3]
Two things are clear in this framing:
- Risk assessment is not about listing problems.
- It is about deciding what to do first.
Notice what is missing:
buzzwords, vendor language, abstract scoring rituals.
Notice what is present:
decision intent.
That is why this definition is reusable--and defensible.
It works in design reviews, executive discussions, audit conversations, and boardrooms alike.
A Shared Language for Risk
(So decisions don't drift)
Once we agree on what we mean by cybersecurity risk, the next challenge is not technical.
It is linguistic.
Most organizations don't struggle because they lack data.
They struggle because everyone talks about risk differently.
Security teams talk about controls.
Engineers talk about vulnerabilities.
Executives hear fragments--and are asked to decide anyway.
Over time, this creates drift.
Not because anyone is careless, but because there is no shared way to speak about risk.
To prevent that drift, this series relies on a shared risk language.
Not a policy.
Not a framework.
A working agreement on how we describe risk--so it consistently leads to decisions.
One Way to State Risk
(So clarity replaces control talk)
Every risk will be expressed in the same simple format:
When [threat or event] happens to [asset, process, or person], we could lose [impact on objectives].
This structure matters more than it looks.
It forces specificity--about what might happen, where we are exposed, and why it matters.
And it prevents a common failure mode: confusing lists of tools or controls with risk itself.
Controls are what we do after a decision.
Risk is what helps leaders decide whether and how to act.
If a concern cannot be written this way, it is not yet ready for leadership attention.
One Way to Describe Impact
(So risks can actually be compared)
To make risk discussions useful beyond the security team, impact must be described consistently.
In this series, we will always look at impact through the same three lenses:
- People
Safety, trust, productivity, insider misuse, failures of enablement - Process
Mission delivery, approvals, case handling, partner workflows, compliance steps - Technology / Systems
Availability, integrity, confidentiality, service disruption
This is not about completeness.
It is about comparability.
When impact is described differently each time, risks cannot be weighed against each other.
When the lens is consistent, leaders can prioritize with confidence.
It also enables aggregation later--across people, process, and systems--into management and board reporting. [4]
What Risk Is Ultimately For
(Decisions)
Risk management does not exist to describe uncertainty.
It exists to decide what to do about it.
Every risk must therefore end in one--and only one--outcome:
- Reduce / Mitigate
Lower likelihood and/or impact - Avoid
Stop the activity or change the design - Transfer / Share
Insurance, contracts, or outsourcing--with controls - Accept
But only when the risk falls within tolerance
This keeps risk management where it belongs:
with leadership, at the organizational and mission level--not buried inside the security function. [2]
If a risk does not lead to a decision, it is unfinished.
Why This Matters
Risk tolerance cannot remain a vague posture statement.
It has to become operational:
what losses are unacceptable,
what trade-offs are permitted,
what must be escalated.
That is how risk becomes measurable.
And once measurable, governable. [1]
Without a shared language, risk management produces reports.
With it, it produces decisions.
Tomorrow -- Day 82
Tomorrow we address a quiet but expensive assumption: that risk is always negative.
Day 82 looks at negative and positive risk in cybersecurity, and why mature organizations are beginning to govern opportunity itself--anchored in NIST CSF 2.0. [4]
Because real maturity is not just about reducing harm. It is about knowing when to say yes--with eyes open.
ーーー
References 出典・参照文献
[1] National Institute of Standards and Technology. (2012). Guide for conducting risk assessments (NIST Special Publication 800-30 Revision 1). https://csrc.nist.gov/pubs/sp/800/30/r1/final
[2] National Institute of Standards and Technology. (2011). Managing information security risk: Organization, mission, and information system view (NIST Special Publication 800-39). https://csrc.nist.gov/pubs/sp/800/39/final
[3] SANS Institute. (n.d.). Cybersecurity risk assessment (Glossary of terms). https://www.sans.org/security-resources/glossary-of-terms/cybersecurity-risk-assessment
[4] National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST CSWP 29). https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf