セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~アジリティの高いセキュリティマネジメントシステム
2022-04-05
アジリティの高いセキュリティマネジメントシステム
多くの企業のセキュリティマネジメントシステムは、ISMSなどで推奨されるPDCAサイクルと、統制を担うマネジメント層、管理を担うセキュリティ統括部門、実行を担う業務部門といった階層的な役割分担のガバナンスモデルによって運営されています。そして、これら企業は年に1度程度の頻度で自社の態勢を確認したり、戦略や方針、実装を見直したりすることで、セキュリティ態勢の維持に努めています。
しかし、いまや企業を取り巻く脅威は日々刻々と変化し、セキュリティ態勢を構成するセキュリティ対策製品や業務運用は複雑化する一方です。このような情勢にあって、年次かつ画一的な解釈に基づいて自社のセキュリティ態勢を評価・分析・方向付けするセキュリティマネジメントシステムは実効的ではありません。次世代のセキュリティマネジメントシステムには、複雑に構成されたセキュリティ態勢の構成要素および実際の脅威の相互関係を正しく理解した上で、状況の変化をリアルタイムに捉え、セキュリティ態勢に即時反映するアジリティの高さが求められます。
解説動画:脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢
アジリティを高めるオンライン化と定式化
アジリティの源泉はオンライン化と定式化にあります。先述の通り、従来のセキュリティマネジメントシステムは、現状把握(アセスメントや運用の棚卸、監査など)を年に1度程度実施するものであり、その結果を関係者や外部の専門家と協議することで対応方針を見出すという、バッチ処理の個別判断を前提とした仕組みでした。
次世代のセキュリティマネジメントシステムでは、オンライン化された現状把握により最新の状況を常時確認することができ、事前に整理された相互関係性に基づいてその意味が解釈されます。ひとたび問題が発見されると、事前に定式化された対処方針、基準に沿って迅速かつ適切な対処が特定され、担当者に対処の開始が通知されます。
マネジメントシステム全体の中で、特にオンライン化と定式化によるトランスフォーメーションに求められる機能は、組織の内外の状況を可視化する機能(セキュリティメトリクスとダッシュボード)と、定式化された方針および基準などに沿って対処を特定する機能です。以後、本稿ではセキュリティメトリクスとダッシュボードを中心にご紹介します。
セキュリティメトリクスとダッシュボード
セキュリティメトリクスとダッシュボードの目的は、組織内外のセキュリティリスクを可視化し、実際の対処につながる解釈を得ることにあります。
セキュリティメトリクスは、セキュリティリスクやセキュリティプログラムなど、組織のセキュリティ態勢に関するあらゆる観点をカバーするKPIおよびKRI群です。リスクアペタイト、アタックサーフェース、想定されるセキュリティ侵害のシナリオ、セキュリティ対策の効果とコスト、セキュリティ侵害発生時に想定される被害の内容と大きさなどを意味のあるまとまりとして定量化し、組織のセキュリティ方針やセキュリティ態勢の成熟度などに応じた基準値を設定することで、各観点の状態が正常で(異常)であるかを判別するのはもちろんのこと、複数のKPI・KRIを考え合わせることで課題の真因や効果的な対処につながるヒントを得ることができます。なお、セキュリティメトリクスは、IT機器やアプリケーションのログや業務履歴、運用帳票といった大量の社内情報、本シリーズの第2回「サイバーインテリジェンスを活用したサイバーリスク評価の高度化」で紹介した社外情報を踏まえたサイバーインテリジェンスから算出されます。
ダッシュボードは、メトリクスやメトリクスをパラメータとするグラフを関係者にリアルタイムに共有することで、セキュリティの知識・専門性も、果たすべき役割も異なるあらゆる関係者に共通理解を促します。
セキュリティメトリクスとダッシュボードは、アジリティの高いセキュリティマネジメントシステムのエンジンとしてあらゆる情報を集約し、示唆を生み出すことで、迅速な意思決定やコミュニケーションを強力にサポートします。
セキュリティマネジメントにもデジタルの恩恵を
これまでセキュリティに関する多種多量なデータを集約し、活用することは困難でしたが、セキュリティ管理の高度化に伴うログの充実と昨今のデータ利活用技術の進展によって、セキュリティメトリクスのようなデータドリブンの仕組みを構築することが実現可能になりました。ダッシュボードも、以前であれば重厚長大なシステムを用意する必要がありましたが、昨今ではBIツールなどを用いて比較的容易に導入することができます。
デジタル技術の高度化と普及に伴い、新たなセキュリティリスクが次々と企業を襲っています。これに立ち向かう私たち企業側も、率先してデジタル技術を活用し、デジタル時代にふさわしい持続可能かつ実効性の高い次世代セキュリティマネジメントモデルに進化させることが求められます。
次回は、セキュリティメトリクスとダッシュボードについて、先進企業の導入事例を交えながらより詳細をご紹介します。
次世代セキュリティマネジメントモデル
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
2024年7月、経済産業省に「サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ」が設置され、さまざまな議論が行われています。2025年4月の中間取りまとめを踏まえた「サプライチェーン強化に向けたセキュリティ対策評価制度」の概要、および本制度の運用開始に備えて企業が実施すべき事項について解説します。
韓国のAIに関する法規制の動向、実務での論点を整理し、韓国で事業を展開する日本企業が留意すべき点を紹介します。
サイバー安全保障、AI、デジタル規制という3つの観点から見た複合的なリスクについて、PwCコンサルティング合同会社の上席執行役員パートナーである林 和洋が、英国の防衛企業BAEシステムズ社でGlobal CISO(グローバル最高情報セキュリティ責任者)を務めるメアリー・ヘイグ氏と議論を交わしました。
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
Loading...
