次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~アジリティの高いセキュリティマネジメントシステム
2022-04-05
アジリティの高いセキュリティマネジメントシステム
多くの企業のセキュリティマネジメントシステムは、ISMSなどで推奨されるPDCAサイクルと、統制を担うマネジメント層、管理を担うセキュリティ統括部門、実行を担う業務部門といった階層的な役割分担のガバナンスモデルによって運営されています。そして、これら企業は年に1度程度の頻度で自社の態勢を確認したり、戦略や方針、実装を見直したりすることで、セキュリティ態勢の維持に努めています。
しかし、いまや企業を取り巻く脅威は日々刻々と変化し、セキュリティ態勢を構成するセキュリティ対策製品や業務運用は複雑化する一方です。このような情勢にあって、年次かつ画一的な解釈に基づいて自社のセキュリティ態勢を評価・分析・方向付けするセキュリティマネジメントシステムは実効的ではありません。次世代のセキュリティマネジメントシステムには、複雑に構成されたセキュリティ態勢の構成要素および実際の脅威の相互関係を正しく理解した上で、状況の変化をリアルタイムに捉え、セキュリティ態勢に即時反映するアジリティの高さが求められます。
解説動画:脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢
アジリティを高めるオンライン化と定式化
アジリティの源泉はオンライン化と定式化にあります。先述の通り、従来のセキュリティマネジメントシステムは、現状把握(アセスメントや運用の棚卸、監査など)を年に1度程度実施するものであり、その結果を関係者や外部の専門家と協議することで対応方針を見出すという、バッチ処理の個別判断を前提とした仕組みでした。
次世代のセキュリティマネジメントシステムでは、オンライン化された現状把握により最新の状況を常時確認することができ、事前に整理された相互関係性に基づいてその意味が解釈されます。ひとたび問題が発見されると、事前に定式化された対処方針、基準に沿って迅速かつ適切な対処が特定され、担当者に対処の開始が通知されます。
マネジメントシステム全体の中で、特にオンライン化と定式化によるトランスフォーメーションに求められる機能は、組織の内外の状況を可視化する機能(セキュリティメトリクスとダッシュボード)と、定式化された方針および基準などに沿って対処を特定する機能です。以後、本稿ではセキュリティメトリクスとダッシュボードを中心にご紹介します。
セキュリティメトリクスとダッシュボード
セキュリティメトリクスとダッシュボードの目的は、組織内外のセキュリティリスクを可視化し、実際の対処につながる解釈を得ることにあります。
セキュリティメトリクスは、セキュリティリスクやセキュリティプログラムなど、組織のセキュリティ態勢に関するあらゆる観点をカバーするKPIおよびKRI群です。リスクアペタイト、アタックサーフェース、想定されるセキュリティ侵害のシナリオ、セキュリティ対策の効果とコスト、セキュリティ侵害発生時に想定される被害の内容と大きさなどを意味のあるまとまりとして定量化し、組織のセキュリティ方針やセキュリティ態勢の成熟度などに応じた基準値を設定することで、各観点の状態が正常で(異常)であるかを判別するのはもちろんのこと、複数のKPI・KRIを考え合わせることで課題の真因や効果的な対処につながるヒントを得ることができます。なお、セキュリティメトリクスは、IT機器やアプリケーションのログや業務履歴、運用帳票といった大量の社内情報、本シリーズの第2回「サイバーインテリジェンスを活用したサイバーリスク評価の高度化」で紹介した社外情報を踏まえたサイバーインテリジェンスから算出されます。
ダッシュボードは、メトリクスやメトリクスをパラメータとするグラフを関係者にリアルタイムに共有することで、セキュリティの知識・専門性も、果たすべき役割も異なるあらゆる関係者に共通理解を促します。
セキュリティメトリクスとダッシュボードは、アジリティの高いセキュリティマネジメントシステムのエンジンとしてあらゆる情報を集約し、示唆を生み出すことで、迅速な意思決定やコミュニケーションを強力にサポートします。
セキュリティマネジメントにもデジタルの恩恵を
これまでセキュリティに関する多種多量なデータを集約し、活用することは困難でしたが、セキュリティ管理の高度化に伴うログの充実と昨今のデータ利活用技術の進展によって、セキュリティメトリクスのようなデータドリブンの仕組みを構築することが実現可能になりました。ダッシュボードも、以前であれば重厚長大なシステムを用意する必要がありましたが、昨今ではBIツールなどを用いて比較的容易に導入することができます。
デジタル技術の高度化と普及に伴い、新たなセキュリティリスクが次々と企業を襲っています。これに立ち向かう私たち企業側も、率先してデジタル技術を活用し、デジタル時代にふさわしい持続可能かつ実効性の高い次世代セキュリティマネジメントモデルに進化させることが求められます。
次回は、セキュリティメトリクスとダッシュボードについて、先進企業の導入事例を交えながらより詳細をご紹介します。
次世代セキュリティマネジメントモデル
6 results
Loading...
次世代セキュリティマネジメントモデル第5回~将来を見据えた慶應義塾大学との共同研究
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
次世代セキュリティマネジメントモデル第3回~アジリティの高いセキュリティマネジメントシステム
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
「営業秘密」の保護と利活用
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
Loading...
