
次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
2023-04-17
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデルのコンセプトおよびモデルを構成する技術・ツールについての議論が近年国内外で活発に交わされており、特にセキュリティメトリクスの実装に必要なデータを取得・加工する方法に注目が集まっています。
「次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装」で紹介したとおり、セキュリティメトリクスを実装するにあたっての課題としては「データ取得の実現性」と「行動につながるスキーム設計」の2点がありますが、「データ取得の実現性」の課題解決に向けては、データを標準化する動きが見られるようになってきました。これにより、次世代セキュリティマネジメントモデルへの変革はより多くの企業にとって現実的な目標として認知されていくと考えられます。
次世代セキュリティマネジメントモデルでは、脅威の実態に適したメトリクスをほぼリアルタイムで可視化し、態勢を柔軟にコントロールすることを目指します。いくつかの種類のデータを掛け合わせて算出するメトリクスを、刻々と変化する脅威にあわせて可視化するためには、メトリクス算出に使用するデータを標準化することが重要です。
データ標準化の代表的な取り組みとしては、Black Hat USA 2022で発表されたオープンソースプロジェクト「Open Cybersecurity Schema Framework(OCSF)」があります。OCSFは、セキュリティ機器やソフトウェアなどが生成するログデータやメトリクスの相互運用性を高めるために各機器から出力する情報のデータ構造であるデータスキーマの標準化を推進するプロジェクトで、複数のセキュリティベンダー、クラウド事業者が参画しています。PwCは、OCSFが次世代セキュリティマネジメントモデルにおけるメトリクス実装の課題である「データ取得の実現性」の解決に寄与すると考え、OCSFが提唱された当初からプロジェクトに参画し、その動向を注視してきました。OCSFによるデータスキーマ標準化の進展に伴い、2022年11月にはOCSFに基づいたデータ統合基盤をサービスとして提供するプラットフォーマーも登場しており、こうしたサービスを活用することでメトリクスが容易に実装できるようになってきました。
OCSFのようなデータ標準化プロジェクトが進行することで、「Continuous Diagnostics and Mitigation Program(CDMプログラム)」によるデータの取得が容易になり、資産、ユーザー、ネットワークセキュリティ、データ保護の管理状況を可視化する米国政府機関の活動も、より進展するものと考えられます。同様の動きは米国だけではなく、米国CDMプログラムを参考に日本で検討が進められている「日本版CDM」にも影響を与えると考えられます。
これらの動向から、今後もメトリクスの実運用に向けたデータ標準化の動きは加速すると考えられ、メトリクスの実装に必要となるデータ取得のハードルは下がっていくものと予想されます。
次世代セキュリティマネジメントモデル実現における課題であった「データ取得の実現性」は、データの標準化が進むことで解消に向かっています。今後企業はデータ標準化の最新動向を踏まえ、自組織におけるデータの取得および活用の方法を検討し、刻々と変化する脅威にリアルタイムで対応できるセキュリティ管理体制を構築することが重要となります。
PwCでは、さまざまなクライアントへの支援を通じて培った知見を元に、次世代セキュリティマネジメントモデルの実現に向けた変革を包括的に支援することが可能です。「サイバーインテリジェンス連動型セキュリティメトリクス実現支援」サービスでは、次世代セキュリティマネジメントモデルの設計や、組織に必要となるセキュリティメトリクスの設計・導入、メトリクスの可視化に使用するダッシュボードの設計・実装などに係るサービスを提供しています。
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
デジタルアイデンティティを悪用した詐欺、なりすましなどの被害拡大を受け、政府もマッチングアプリやSNS事業者に対して本人確認の厳格化を働きかけています。本稿では、ロマンス詐欺の実態を解説します。
第2次トランプ政権発足に伴う「ブリュッセル効果」への影響や変化の時代における日本への示唆を、コロンビア大学ロースクール 教授・PwC Japanグループ顧問 Anu Bradfordに聞きました。
金融分野におけるサイバーセキュリティの課題に対応できるガイドラインとして、CRI Profileの有用性とグローバルトレンドなどについて活用事例を挙げて解説します。
米国法規制の重要な指標であり、プライバシーやサイバーセキュリティ、AIといった分野で先進的な取り組みを続けるカリフォルニア州とニューヨーク州の法整備の現状を取り上げ、具体的な制度内容とその背景を解説します。