次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~サイバーインテリジェンスを活用したサイバーリスク評価の高度化
2022-03-24
正確な脅威の把握が必要
本シリーズの第1回「次世代セキュリティモデル~サステナブルなセキュリティ態勢」では、セキュリティコストを最適化し、持続可能なセキュリティ態勢を実現するための取り組みとして、「動的なセキュリティマネジメントシステム」および「機先を制するインテリジェンス」の活用が必要である点を紹介しました。また、企業は自社に残留するサイバーリスクが一定であると信じていること、その原因が日々変化している自社の脅威を正確に把握できてないこと、自社のセキュリティ能力の変化を認知できていないことに注意すべきであるという点について説明しました。本稿では、こうした課題構造のうち、サイバーリスク評価に必要となる「正確な脅威の把握」について考察します。
解説動画:脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢
現状のリスク評価フレームワークの課題
「正確な脅威の把握」を実現するためには、評価の適時性および妥当性の担保が求められます。企業を取り巻く外部環境としての脅威は、社会情勢やサイバー攻撃者の動向など、さまざまな要因により日々変化しています。一方、企業のリスクマネジメント活動は多くの場合、リスクアセスメントを年次実施し、その結果に基づいてリスクへの対応を計画・実行します。これは、リスク評価の結果が1年間変動しないと見なすことを意味し、適時性の上での課題があると言えます。
またPwCの調査結果*1では、組織が準拠する標準・ガイドラインの上位2つとしてISO/IEC27001(ISMS)、NISTサイバーセキュリティフレームワーク(NIST CSF)が挙げられていることが報告されています。ISMSでは、情報資産を洗い出し、その情報資産に関する機密性・完全性・可用性の観点から価値・脅威・脆弱性を評価し、それらを掛け合わせることでリスク値を算出します。この中で脅威は、「〇〇〇(資産)に対する盗聴」といった脅威事象に対する発生確率・頻度を「高」「中」「低」といった定性的な尺度で評価します。一方、NIST CSFは、組織が具備すべきセキュリティ対策の一覧、および成熟度評価の考え方を提供しているもののあるべき姿と現状にギャップが存在した場合の想定脅威、その発生確率・頻度の評価に対するガイダンスを提供していません。そのため、組織は想定脅威の発生確率・頻度を踏まえ、対策の優先度を独自に決定する必要があります。このように、現在一般に広く利用されている標準・ガイドラインにおいても脅威の評価に関する妥当性には曖昧さが残り、改善の余地があると言えます。
サイバーインテリジェンス活用により脅威に対する解像度を高める
近年提唱されているサイバーインテリジェンスでは、サイバーリスクおよび脅威を以下のように要素分解しています。*2
- サイバーリスク = 影響度 x 脆弱性 x 脅威
- 脅威 = 意図 x 能力 x 機会
インテリジェンスは軍事活動における情報収集、分析、意思決定の支援に係る活動を起源としており、自組織だけでなく自組織を取り巻く外部環境、特に相対する仮想敵国を想定したうえで自組織と仮想敵国の関係性における脅威を認知・分析するものです。そのため「漠然とした誰か」ではなく想定した仮想敵国の意図・能力・機会まで踏み込んだ分析を行います。これをサイバーセキュリティの文脈に当てはめると、脅威を「標的型攻撃」「ランサムウェア感染」のように漠然と捉えるのではなく、自組織に関連する具体的な脅威アクターを想定し、当該脅威アクターの意図・能力・機会に基づいて脅威を評価することになります。そして、自組織に内包される影響度、脆弱性と掛け合わせることでサイバーリスクを評価します。
こうした評価を行う上でまず重要になるのは、自組織に関連する脅威アクターを明確にすることです。インテリジェンスは上記のとおり、自組織と相対する敵対組織との関係性において発生する概念です。そのため、敵対組織が不明慮な状態では当然その意図・能力・機会を評価することはできません。また敵対組織の一般論としての意図・能力・機会に関する情報だけでは評価としては不十分です。そうした情報と自組織の活動地域、業種・業界、所有資産、PR/IRなどの対外活動といった事業特性・活動を踏まえ、自組織に関連する脅威アクターを明確にする必要があります。
サイバーインテリジェンスの活用方法とその効果
組織のリスクマネジメント活動において想定される脅威アクターの全てを洗い出すことは現実的には困難です。そのため、従来のリスクアセスメントによるリスク評価をベースラインとしつつ、サイバーインテリジェンス活動による評価結果を用いてリスク評価を補正する、リスク対応計画を修正する、セキュリティ機器の設定変更・パッチ適用・注意喚起など必要な措置を直ちに実施する、といった対応が求められます。こうした運用を実現することで、自組織に関連する攻撃の可能性、その手法・手口といった脅威を具体的に捉え、必要となる打ち手をより迅速に講じることができます。こうした取り組みを実現するためには、自組織に沿ったサイバーインテリジェンスサイクルを構築・運用することが肝要となります。詳細については、「2021年 Cyber IQ調査 - 機先を制するセキュリティへの転換」*3も併せてご覧ください。
次回は、動的なセキュリティ管理を実現するためのセキュリティメトリクスについて紹介します。
次世代セキュリティマネジメントモデル
6 results
Loading...
次世代セキュリティマネジメントモデル第5回~将来を見据えた慶應義塾大学との共同研究
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
次世代セキュリティマネジメントモデル第3回~アジリティの高いセキュリティマネジメントシステム
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
