サイバーセキュリティは、ESGの要素の一つとして、近年、株主からの関心が高まっている分野。政府による規制や、取締役会での監督も重要になってきている。また、最高情報セキュリティ責任者(CISO)や最高情報責任者(CIO)は、サイバーセキュリティのリスクを管理し、個人を特定できる情報(PII)を保護する責務を負うようになってきている。
サイバセキュリティーに関しては、各国では法規制も整備されてきており、米グラム・リーチ・ブライリー法、ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ要件、カナダ個人情報保護法及び電子文書法(PIPEDA)、オーストラリア健全性規制庁(APRA)が定める情報セキュリティ規制(CPS 234)等がある。
これに加えて、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法 2018年(CCPA)、ブラジル個人情報保護法(LGPD)等は、個人情報保護に関しても厳しい規制を課してきている。
サイバーセキュリティは専門性の高い分野だが、監督や情報開示においてモニタリングでのKPI設定は不可欠な分野。今回は、サイバーセキュリティで定着しつつある代表的なKPIを紹介していく。
なぜサイバーセキュリティ指標のモニタリングが重要なのか?
サイバーセキュリティは一度対策すれば終わりではない。サイバー脅威は絶えず進化しており、それらを防ぐために必要なプロセスとテクノロジーも絶えず進化している。そのため、投資した施策の有効性を頻繁に評価する必要がある。
モニタリングを行うことのメリットは主に2つある。まず、セキュリティチームが時系列でどの程度機能しているかをデータで把握することができる。何が機能し、何が不足しているかを理解できるようになり、意思決定が改善される効果がある。
もう1つは、経営陣や取締役会に対して、情報技術アセットの保護に取り組んでいることを定量的に示すことができる。
しかし、リスク分野の定量把握では、過去10年間改善がほぼ進んでいない。下図は、2009年と2019年のリスク定量把握に関するCEOの認識を示したものだが、リスク情報は重要とされつつも、依然として把握が進んでいない。
(出所)PwC「22nd Annual Global CEO Survey」
また、情報セキュリティレポートが十分に期待に応えていると答えた企業も、わずか15%しかない。改善の余地が大きいと言える。
(出所)EY「EY Global Information Security Survey 2018–19」
サイバーセキュリティ指標の14の例
1. 準備態勢レベル
企業ネットワーク上のデバイスのバージョンが最新状態になっている割合。脆弱性スキャンと脆弱性管理は、脆弱性が悪用されるリスクを低減することができる。
2. 社内ネットワーク上の未確認デバイス数
未確認デバイスの検知数。従業員が自分のデバイスを持ち込み、社内ネットワークに接続するとマルウェアやその他のサイバーリスクを引き起こす可能性がある。また、設定不十分なIoT(Internet of Things)デバイスも同様。
3. 侵入の試行回数
悪意ある者が不正アクセスを試みた回数。
4. セキュリティインシデント数
情報資産やネットワークに攻撃者が侵入した回数。
5. 平均検出時間(MTTD)
セキュリティ侵害やその他のセキュリティの脅威に対し、検出までにかかる時間。
6. 平均解決時間(MTTR)
問題が検出されてから、チームが解決するまでに要した時間。インシデント対応計画の実施品質を測る重要な指標となる。
7. 平均封じ込め時間(MTTC)
問題が発生してから解決されるまでの平均時間。この値が高い場合、MTTDやMTTR等に分解し、課題があるプロセスを発見する必要がある。
8. 自社のセキュリティ評価
セキュリティを独自の手法で評価しスコア化。技術者でない関係者に状況をわかりやすく伝える最も簡単な方法。
9. ベンダーの平均的なセキュリティ評価
ITベンダーのセキュリティを独自の手法で評価しスコア化。
10. パッチ適用頻度
アプリケーションのセキュリティパッチの実装や、公開されている共通脆弱性識別子(CVE)にリストアップされた高リスクの脆弱性の修正に要した時間。ワーム型ランサムウェアは、ゼロデイ攻撃(脆弱性が発見され、パッチリリースと実装されるまでの間に攻撃する)を行う。そのため、修正を迅速に行う必要がある。
ちなみに、ワームとは、マルウェア(悪意あるソフトウェア)の1種であり、自己複製機能を持ち、他のファイルに寄生することなく単独で実行が可能であるもの。ランサムウェアとは、コンピュータやファイルをロックし、元に戻す代わりに身代金(ランサム)を要求するソフトウェアのこと。
11.アクセス管理
管理者権限を持つユーザー数。アクセス制御と権限の最小化は、権限昇格攻撃を減らすためのシンプルで費用対効果の高い方法。
12. 自社と同業他社のサイバーセキュリティのパフォーマンス比較
組織のサイバーセキュリティ・パフォーマンスを同業他社と比較。取締役等場では、視覚的にわかりやすく伝えることができる。
13. ベンダーのパッチ適用頻度
ベンダーが抱えるリスク数と、まだ修正されていない重要な脆弱性の数の差。
14. ベンダーのインシデント対応に要する平均時間
ベンダーでのシンシデント対応スピード。インシデント対応が遅れるほど、第三者によるデータ侵害の被害を受ける可能性が高くなる。実際、大規模なデータ漏洩では、ベンダーの管理が不十分であったことが原因のものが多い。
サイバーセキュリティ指標の正しい選び方
サイバーセキュリティの指標を選択する厳密なルールはない。業界、組織のニーズ、規制、ガイドライン、ベストプラクティス、そして最終的には自組織と相対する顧客のリスク許容度を考慮し、選択する必要がある。
一方で、管理する指標は、技術者でない利害関係者にも明確な指標を選ぶのが望ましい。非技術的な利害関係者が理解できない場合は、指標を選び直すか、説明の仕方を向上する必要がある。ベンチマークや業界比較は、相手にわかりやすいため、推奨される。
また、サイバーセキュリティの費用対効果では、分母となるコスト情報も重要な意思決定情報となる。平均的なデータ侵害のコストは、グローバル全体で392万米ドル(約4.9億円)、米国では819万ドル(約10億円)。発生時のコストと比較すれば、対策コストはの費用対効果はかなり高いといえる。
今回紹介した以外の指標として、CISコントロールでは費用対効果の高い、優先順位の高いセキュリティ管理リストを提供している。
サイバーセキュリティのガイドラインでは、米セキュリティNGOのCenter for Internet Security(CIS)が定めたガイドライン「CISコントロール」が有名。
(出所)ラック「セキュリティ対策、どこまでやる?CIS Controls v8日本語訳をリリース」
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
サイバーセキュリティは、ESGの要素の一つとして、近年、株主からの関心が高まっている分野。政府による規制や、取締役会での監督も重要になってきている。また、最高情報セキュリティ責任者(CISO)や最高情報責任者(CIO)は、サイバーセキュリティのリスクを管理し、個人を特定できる情報(PII)を保護する責務を負うようになってきている。
サイバセキュリティーに関しては、各国では法規制も整備されてきており、米グラム・リーチ・ブライリー法、ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ要件、カナダ個人情報保護法及び電子文書法(PIPEDA)、オーストラリア健全性規制庁(APRA)が定める情報セキュリティ規制(CPS 234)等がある。
これに加えて、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法 2018年(CCPA)、ブラジル個人情報保護法(LGPD)等は、個人情報保護に関しても厳しい規制を課してきている。
サイバーセキュリティは専門性の高い分野だが、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
サイバーセキュリティは、ESGの要素の一つとして、近年、株主からの関心が高まっている分野。政府による規制や、取締役会での監督も重要になってきている。また、最高情報セキュリティ責任者(CISO)や最高情報責任者(CIO)は、サイバーセキュリティのリスクを管理し、個人を特定できる情報(PII)を保護する責務を負うようになってきている。
サイバセキュリティーに関しては、各国では法規制も整備されてきており、米グラム・リーチ・ブライリー法、ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ要件、カナダ個人情報保護法及び電子文書法(PIPEDA)、オーストラリア健全性規制庁(APRA)が定める情報セキュリティ規制(CPS 234)等がある。
これに加えて、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法 2018年(CCPA)、ブラジル個人情報保護法(LGPD)等は、個人情報保護に関しても厳しい規制を課してきている。
サイバーセキュリティは専門性の高い分野だが、
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。
ここから先は有料登録会員限定のコンテンツとなります。有料登録会員へのアップグレードを行って下さい。
サイバーセキュリティは、ESGの要素の一つとして、近年、株主からの関心が高まっている分野。政府による規制や、取締役会での監督も重要になってきている。また、最高情報セキュリティ責任者(CISO)や最高情報責任者(CIO)は、サイバーセキュリティのリスクを管理し、個人を特定できる情報(PII)を保護する責務を負うようになってきている。
サイバセキュリティーに関しては、各国では法規制も整備されてきており、米グラム・リーチ・ブライリー法、ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ要件、カナダ個人情報保護法及び電子文書法(PIPEDA)、オーストラリア健全性規制庁(APRA)が定める情報セキュリティ規制(CPS 234)等がある。
これに加えて、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法 2018年(CCPA)、ブラジル個人情報保護法(LGPD)等は、個人情報保護に関しても厳しい規制を課してきている。
サイバーセキュリティは専門性の高い分野だが、監督や情報開示においてモニタリングでのKPI設定は不可欠な分野。今回は、サイバーセキュリティで定着しつつある代表的なKPIを紹介していく。
なぜサイバーセキュリティ指標のモニタリングが重要なのか?
サイバーセキュリティは一度対策すれば終わりではない。サイバー脅威は絶えず進化しており、それらを防ぐために必要なプロセスとテクノロジーも絶えず進化している。そのため、投資した施策の有効性を頻繁に評価する必要がある。
モニタリングを行うことのメリットは主に2つある。まず、セキュリティチームが時系列でどの程度機能しているかをデータで把握することができる。何が機能し、何が不足しているかを理解できるようになり、意思決定が改善される効果がある。
もう1つは、経営陣や取締役会に対して、情報技術アセットの保護に取り組んでいることを定量的に示すことができる。
しかし、リスク分野の定量把握では、過去10年間改善がほぼ進んでいない。下図は、2009年と2019年のリスク定量把握に関するCEOの認識を示したものだが、リスク情報は重要とされつつも、依然として把握が進んでいない。
(出所)PwC「22nd Annual Global CEO Survey」
また、情報セキュリティレポートが十分に期待に応えていると答えた企業も、わずか15%しかない。改善の余地が大きいと言える。
(出所)EY「EY Global Information Security Survey 2018–19」
サイバーセキュリティ指標の14の例
1. 準備態勢レベル
企業ネットワーク上のデバイスのバージョンが最新状態になっている割合。脆弱性スキャンと脆弱性管理は、脆弱性が悪用されるリスクを低減することができる。
2. 社内ネットワーク上の未確認デバイス数
未確認デバイスの検知数。従業員が自分のデバイスを持ち込み、社内ネットワークに接続するとマルウェアやその他のサイバーリスクを引き起こす可能性がある。また、設定不十分なIoT(Internet of Things)デバイスも同様。
3. 侵入の試行回数
悪意ある者が不正アクセスを試みた回数。
4. セキュリティインシデント数
情報資産やネットワークに攻撃者が侵入した回数。
5. 平均検出時間(MTTD)
セキュリティ侵害やその他のセキュリティの脅威に対し、検出までにかかる時間。
6. 平均解決時間(MTTR)
問題が検出されてから、チームが解決するまでに要した時間。インシデント対応計画の実施品質を測る重要な指標となる。
7. 平均封じ込め時間(MTTC)
問題が発生してから解決されるまでの平均時間。この値が高い場合、MTTDやMTTR等に分解し、課題があるプロセスを発見する必要がある。
8. 自社のセキュリティ評価
セキュリティを独自の手法で評価しスコア化。技術者でない関係者に状況をわかりやすく伝える最も簡単な方法。
9. ベンダーの平均的なセキュリティ評価
ITベンダーのセキュリティを独自の手法で評価しスコア化。
10. パッチ適用頻度
アプリケーションのセキュリティパッチの実装や、公開されている共通脆弱性識別子(CVE)にリストアップされた高リスクの脆弱性の修正に要した時間。ワーム型ランサムウェアは、ゼロデイ攻撃(脆弱性が発見され、パッチリリースと実装されるまでの間に攻撃する)を行う。そのため、修正を迅速に行う必要がある。
ちなみに、ワームとは、マルウェア(悪意あるソフトウェア)の1種であり、自己複製機能を持ち、他のファイルに寄生することなく単独で実行が可能であるもの。ランサムウェアとは、コンピュータやファイルをロックし、元に戻す代わりに身代金(ランサム)を要求するソフトウェアのこと。
11.アクセス管理
管理者権限を持つユーザー数。アクセス制御と権限の最小化は、権限昇格攻撃を減らすためのシンプルで費用対効果の高い方法。
12. 自社と同業他社のサイバーセキュリティのパフォーマンス比較
組織のサイバーセキュリティ・パフォーマンスを同業他社と比較。取締役等場では、視覚的にわかりやすく伝えることができる。
13. ベンダーのパッチ適用頻度
ベンダーが抱えるリスク数と、まだ修正されていない重要な脆弱性の数の差。
14. ベンダーのインシデント対応に要する平均時間
ベンダーでのシンシデント対応スピード。インシデント対応が遅れるほど、第三者によるデータ侵害の被害を受ける可能性が高くなる。実際、大規模なデータ漏洩では、ベンダーの管理が不十分であったことが原因のものが多い。
サイバーセキュリティ指標の正しい選び方
サイバーセキュリティの指標を選択する厳密なルールはない。業界、組織のニーズ、規制、ガイドライン、ベストプラクティス、そして最終的には自組織と相対する顧客のリスク許容度を考慮し、選択する必要がある。
一方で、管理する指標は、技術者でない利害関係者にも明確な指標を選ぶのが望ましい。非技術的な利害関係者が理解できない場合は、指標を選び直すか、説明の仕方を向上する必要がある。ベンチマークや業界比較は、相手にわかりやすいため、推奨される。
また、サイバーセキュリティの費用対効果では、分母となるコスト情報も重要な意思決定情報となる。平均的なデータ侵害のコストは、グローバル全体で392万米ドル(約4.9億円)、米国では819万ドル(約10億円)。発生時のコストと比較すれば、対策コストはの費用対効果はかなり高いといえる。
今回紹介した以外の指標として、CISコントロールでは費用対効果の高い、優先順位の高いセキュリティ管理リストを提供している。
サイバーセキュリティのガイドラインでは、米セキュリティNGOのCenter for Internet Security(CIS)が定めたガイドライン「CISコントロール」が有名。
(出所)ラック「セキュリティ対策、どこまでやる?CIS Controls v8日本語訳をリリース」
ここから先は登録ユーザー限定のコンテンツとなります。ログインまたはユーザー登録を行って下さい。