Strengthening Cybersecurity with GenAI
Jurgen Kutscher, VP at Mandiant Consulting, Google Cloud, and BCG’s Colin Troha explore how cybersecurity defenders can use GenAI to stay ahead of threat actors.
サイバーセキュリティをきちんと理解している企業は、アドオンとしてではなく、事業戦略により形作られ事業戦略に沿ったものとして扱います。BCGは、企業が最も重要なリスクと組織能力に注力できるよう支援します。
サイバーセキュリティはテクノロジー・プロジェクトではありません。強力なテクノロジー・コンポーネントをともなうビジネス・プロジェクトです。このことを理解している企業は、広範な――多くの場合実行不可能な――サイバー・ロードマップを追求することはありません。自社の事業戦略への関連性がきわめて高いリスクと組織能力に焦点を絞ります。
サイバーセキュリティに対する私たちの独自のアプローチはこうした考え方に基づいています。また、継続的改善の基盤となるイネーブルメント(組織能力構築支援)が私たちの取り組みの大きな部分となるのもそのためです。そうすることで、私たちがプロジェクトから外れた後も、企業はサイバーセキュリティ戦略と事業戦略を整合させていくことができるのです。
サイバーセキュリティをビジネスのレンズを通してみることで、企業が受け入れられるリスクと受け入れられないリスクを特定するお手伝いをします。これにより、ビジネス主導の、リスクにそったケイパビリティ・ロードマップを作成できます。その上で企業は自社の取り組みと投資を、最も重要な領域に焦点を絞って行います。
プロセスはいくつかの段階に分けて進めます。
BCGのサイバーセキュリティ・コンサルティングチームは、ビジネスの専門知識・経験、戦略的な考え方、サイバーテクノロジーの深い知識を組み合わせてクライアントを支援します。企業がサイバーリスクを定量化し、さまざまな対応策のモデル分析をするのに役立つCyber Dopplerなど、BCG独自のツールを活用します。
数多くの企業は、共通のジレンマに直面しています。サイバーセキュリティの支出は、それに見合うほど効率的でも、効果的でもないことがよくあります。私たちは、BCGのCyber Dopplerツールを含むサイバーリスク・アナリティクスを通じて、クライアントである大手グローバル銀行が、さまざまなシナリオや事業部門のリスクエクスポージャを計算し、さまざまなサイバー活動の効果を理解するお手伝いをしました。これによりこの銀行はサイバーポートフォリオを最適化し、リスクエクスポージャに最も大きな影響をもたらす活動に支出を再配分することができました。この銀行は、 サイバーセキュリティ支出の15%を削減するか再配分するとともに、サイバープロジェクトを35%減らしましたが、組織のサイバー対応は改善しました。
ヘルスケア領域への業務拡大を望んでいたクライアントは、まずサイバースペース防衛の強化が必要だと理解していました。最近のマルウェア攻撃により多額の財務的損失が生じ、依然として脆弱性がありました。私たちはテクノロジーおよびプロジェクトマネジメントの専門知識を活用して、さまざまなサイバーセキュリティ評価を行い、弱点とコストのかかる冗長性の双方を特定しました。注力すべき領域の優先順位づけを行い、クライアントのために30を超えるサイバー防衛プロジェクトを指揮しました。同様に重要な点として、この企業がサイバー組織能力を迅速に強化し、かつ継続的に改善できるよう、長期および短期のロードマップを策定しました。
Jurgen Kutscher, VP at Mandiant Consulting, Google Cloud, and BCG’s Colin Troha explore how cybersecurity defenders can use GenAI to stay ahead of threat actors.
The opportunities presented by generative AI are significant, but leaders need to focus equally on the risks. What is a responsible C-suite member supposed to do?
Many companies today are tightening or even reducing cybersecurity budgets. Implementing a comprehensive cost resilience process can maintain—and often improve—an organization’s risk profile.