次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~将来を見据えた慶應義塾大学との共同研究
2022-04-22
次世代セキュリティマネジメントモデルの確立に向けた課題
本シリーズでこれまで述べてきた通り、外部ガイドラインなどを参考に一定のセキュリティ水準に達している企業については、サステナブルなセキュリティ態勢の実現に向け、次世代セキュリティマネジメントモデルへの移行を進めるべきと考えます。「次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装」で紹介した通り、実際に、次世代セキュリティマネジメントモデルへの変革を遂げ、自組織のセキュリティ状態を常時把握したうえで、企業のセキュリティ水準を適時適切にコントロールできている企業も少しずつ増えてきています。しかしながら、これらの企業であっても、セキュリティメトリクスの実装・運用にあたって、以下のような課題に直面するケースが散見されます。
課題例1:セキュリティメトリクスの設計が最適ではない
これまで多くの企業では、セキュリティメトリクスは社内のセキュリティの専門人材や外部コンサルタントの知見・経験則に基づいて設計されてきました。しかし、「最適なセキュリティメトリクスが設計されているか」と問われ、理論的に答えられる企業は多くないでしょう。セキュリティメトリクスから効果的な方向付けを得られない、セキュリティメトリクスに対するターゲット(閾値)設定に理論的な妥当性がない、セキュリティメトリクスとして表現されるセキュリティ活動や脅威が偏っている、といった課題を持つ企業は多いと考えられます。
課題例2.:セキュリティメトリクスに必要なデータが把握されていない
セキュリティメトリクスは、各業務やシステムのデータをインプットすることで算出されます。しかしながら、セキュリティメトリクスに必要なデータをあらかじめ整理せず、取得したデータを場当たり的に利用するだけで、結果としてセキュリティメトリクスから有効な示唆を見出せず、効果的な取り組みにつながっていないケースが多く見受けられます。
課題例3.:脅威や外的環境の変化を可視化できていないメトリクス
脅威を把握し、セキュリティ活動と脅威を照らし合わせることで、必要十分なセキュリティ対策を講じることができます。しかしながら、多くの企業はセキュリティメトリクスを運用していても、セキュリティ活動の可視化のみにとどまっており、脅威の可視化までは実現できていません。その原因としては、サイバーインテリジェンスを正確に読み取れない、あるいは正確に読み取れても、どのようにセキュリティメトリクスとして落とし込めるかまで分からない、ということが考えられます。
解説動画:脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢
セキュリティメトリクスの在るべき姿
NISTなどは以前からセキュリティメトリクスの必要性を提唱しており、それ自体は新しい発想ではありません。そして、多くの組織は「理想」としてはセキュリティメトリクスの有用性を認めています。しかし、ベストプラクティスと呼べるメトリクスセットや、その算定のために必要な具体的なデータの内容および取得方法などが確立されていないという「現実」から、導入はしたものの先述したような課題に直面し、期待する効果が得られず計画が頓挫してしまうケースが多々見受けられます。
では、どのようにすればこの「理想」と「現実」の隔たりを埋めることができるのでしょうか。これらの課題に鑑み、PwCでは次世代セキュリティマネジメントモデルのキーソリューションと位置付けられるセキュリティメトリクスの在るべき姿や方法論を確立すべく、取り組みを推進しています。
PwCではこの取り組みを進めるにあたっては、セキュリティメトリクスを理想的に実装・運用するアーキテクチャを描き、これに各企業の実態や課題をフィードバックした上で、斬新なアイデアや最先端の知見・技術を駆使することが重要であると考えています。そのためには、「セキュリティメトリクス設計におけるコンサルタントの経験則に理論的な裏付けを確認し定式化すること」「最新のデータ活用手法に基づいて効果的なセキュリティメトリクスを発掘すること」「外的環境や脅威における各企業への影響を定量化すること」などの検討が必要となります。
慶應義塾大学との共同研究
PwCでは、このチャレンジの最適解を導出するためにはアカデミアとコラボレーションし、いまだ実用化に至っていない最先端の知見・技術や、他分野における理論の適用なども検討の俎上に上げ、産学連携によって知を創出することが有効であると考えています。そこでPwCは2021年10月、慶應義塾大学との共同研究を開始しました。慶應義塾大学の知見・技術とPwCのサイバーセキュリティに関する多くの企業への提供実績を組み合わせ、セキュリティメトリクスの実装・運用の高度化・最適化を目指しています。研究のポイントは以下のとおりです。
研究ポイント1. 最適なセキュリティメトリクスの定義
この研究では、これまで、多くの企業がコンサルタントの知見や経験則に基づいて実装してきたセキュリティメトリクスを分析します。企業のどのような特性がセキュリティメトリクスの在り方に影響を及ぼすかをリサーチし、各企業にとって最適なセキュリティメトリクスを定義することを目指しています。
研究ポイント2. サイバーインテリジェンス連動型セキュリティメトリクス
この研究では、サイバーインテリジェンスから脅威・リスクを正確に読み取る手法や、サイバーインテリジェンスに呼応するセキュリティメトリクスをリサーチし、サイバーインテリジェンスに有機的に連動するセキュリティメトリクスの実装を目指しています。
次世代セキュリティマネジメントモデル
6 results
Loading...
次世代セキュリティマネジメントモデル第5回~将来を見据えた慶應義塾大学との共同研究
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
次世代セキュリティマネジメントモデル第3回~アジリティの高いセキュリティマネジメントシステム
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
Loading...
