政府や自治体などの公共機関の電子化が進むほど、セキュリティ事故が発生した場合の業務への影響は増大する。公共機関がサイバー攻撃による影響を最小化するためには、組織的対策と技術的対策の両方を徹底する必要があるが、サイバーセキュリティ対策は、目視で確認することができないため、KPIを用いた数値などで見える化し、目標管理と定期的な評価を行うことが必要である。
本稿では、海外政府機関や民間企業におけるサイバーセキュリティのKPIに関する具体的なKPIの例に触れ、日本の公共機関が活用すべきKPIモデルについて解説する。