次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~サステナブルなセキュリティ態勢の実現に向けて
2022-03-23
破綻が見え隠れする企業のセキュリティ態勢
サイバーリスクの高まりに対処するため、企業は広範なセキュリティ対策を高度に成熟させており、その結果、コストは天井知らずに増大しています。正常なビジネスの運営のためにはセキュリティリスクを十分に低減できるリソース(ヒト、モノ、カネ)が投資されるべきと考えますが、その規模があまりにも大きくなり、本来の目的であるはずのビジネスを圧迫するケースも散見されます。現在のサイバーセキュリティ管理のあり方は、将来的に破綻する可能性を抱えています。
本シリーズでは、サイバーリスクに真摯に向き合い、適切なセキュリティ管理を実践しようとしている企業に向けて、サイバー攻撃が当たり前にある時代にあっても、経済合理性を保ちながらサイバーリスクに対処するサステナブルなセキュリティ態勢を提唱します。
解説動画:脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢
サステナブルなセキュリティ態勢
企業のセキュリティ態勢は、セキュリティマネジメントシステム、技術的なセキュリティ対策、セキュリティ運用業務、そしてスキル・専門性といった人的能力により構成されています。そしてこれまで、企業はサイバーリスクの高まりとともに技術的な対策と運用業務を次々に導入することで、強靭なセキュリティ態勢の構築に取り組んできました。
このようなセキュリティ態勢は、サイバーリスクの低減効果(セキュリティ能力)の面では相応の説明性があります。一方で、サイバーリスクの高まりや新たなサイバーリスクの発生が続く限り、企業の技術的な対策と運用業務は拡大し続けることになり、経済性の観点では問題を抱えています。
DXやサイバーフィジカルといった潮流に乗り、コネクティビティが加速度的に増し、サイバー攻撃が最も収益率の高い犯罪となった現在において、サイバーリスクの増大が止まるという合理的な理由は残念ながら見当たりません。このままでは企業のセキュリティコストは増加の一途を辿り、いずれ破綻を迎えるでしょう。まさにジリ貧の状況にあります。
こうした状況を打破し、セキュリティ能力を高めながらその経済性も高めるトレードオンのセキュリティ態勢を確立するには、「アジリティの高い動的なセキュリティマネジメントシステム」と「機先を制するインテリジェンスの活用」が必要です(図1)(図2)。
サステナブルな態勢実現のカギ
企業のセキュリティマネジメントシステムは年単位のPDCAが主流であり、年次アセスメントのタイミングで残留リスク(セキュリティ能力を超えた脅威)がリスクアペタイト(あらかじめ設定されたリスク許容量)を超過していることが分かると、すぐさま新たな技術的対策やセキュリティ運用業務の追加が計画されるケースが散見されます。しかし、実際には自社を取り巻く脅威も自社のセキュリティ能力も日々変化しています(図3)。もし企業が、脅威とセキュリティ能力の変動を正しく認識できたなら、残留リスクの高まりの原因が一時的なセキュリティ能力の低下にあることを突き止め、それを的確に回復したり、脅威の高まりに対して一時的にセキュリティ能力を高めたりすることもでき、新たな対策や運用の導入を最小限に留めることができます。
つまり、自社を取り巻く脅威と自社のセキュリティ能力をリアルタイムに正しく認識できれば、脅威の動向に基づいて的確にセキュリティ態勢のポテンシャルを引き出すことができます。その結果、効率的に残留リスクをコントロールでき、サステナブルなセキュリティ態勢を実現できます。
サステナブルなセキュリティ態勢実現のカギは、1つは状況をリアルタイムに認識し、それに基づいてセキュリティ対策や運用業務を調整する動的なセキュリティマネジメントシステムを活用することです。そしてもう1つは、外的状況である脅威の詳細を把握し、正しく解釈するためのインテリジェンス活用にあります。
セキュリティ態勢のパラダイムシフト
本稿では、企業におけるサステナブルなセキュリティ態勢の構築に必要なコンセプトをご紹介しました。企業は「アジリティの高い動的なセキュリティマネジメントシステム」と「機先を制するインテリジェンスの活用」によって、膨らみ続けるセキュリティコストを持続可能な水準に低減させるだけでなく、サイバー攻撃の発生以前に対攻撃姿勢を取ることで、攻撃耐性を向上させることが期待できます。
本シリーズでは、本稿で述べたサステナブルなセキュリティ態勢を構成するインテリジェンス活用や動的なセキュリティマネジメントシステム、コンセプト実現のためのKSF(Key Success Factor)、関連するPwCの取り組みなどについてご紹介します。
次世代セキュリティマネジメントモデル
6 results
Loading...
次世代セキュリティマネジメントモデル第5回~将来を見据えた慶應義塾大学との共同研究
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
次世代セキュリティマネジメントモデル第3回~アジリティの高いセキュリティマネジメントシステム
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
