サイバーインテリジェンス活用によるセキュリティ課題の解決－経営層の意思決定につながるサイバーセキュリティリスクレポートとは

2023-01-13

はじめに

IPA（独立行政法人情報処理推進機構）が毎年リリースしている「情報セキュリティ10大脅威」において、「標的型攻撃」は10年前に最も大きな脅威として1位にランクされていましたが、2022年版でも2位に入るなど、この10年の間、常に上位3位以内に入っています。そしておそらく、企業のセキュリティ部門が経営層に提出するリスクレポートにおいても、この10年間「標的型攻撃」が取り上げられ続けていると推察されます。

多くの経営者がセキュリティ部門からの求めに応じて、標的型攻撃への対策として毎年予算を投じています。しかし、その際に自社の残存リスクをしっかりと把握した上で、意思決定ができているでしょうか。またセキュリティ部門は10年前に比べて、標的型攻撃に対する自社のリスクが大きくなったか、あるいは小さくなったかを経営層に正確に報告できているでしょうか。

本稿では、サイバーインテリジェンスを活用した経営層向けのレポートのあり方について解説します。

経営層へのリスクレポートにおける課題

多くの経営層がリスクレポートに求める2つの観点について考察します。

リスクの大きさ

経営層に報告されるリスクの単位は、概ね「情報の漏洩または改竄」「サービスの停止」といった粒度になります。

この粒度は被害状況をイメージしやすい反面、リスクの大小が測りにくく、報告に不向きな一面があります。

例えば、標的型攻撃は複数の攻撃手法の連鎖によって形成されますが、同じ攻撃手法の連鎖であっても、攻撃者の最終目的によって情報漏洩とサービス停止の双方ともが起こり得ます。つまり、リスクを構成する要因（攻撃手法）が同じであるがゆえに、それぞれのリスクの蓋然性に差が生まれず、リスクの大小を測ることができないのです。

リスクの根拠

「情報の漏洩または改竄」「サービスの停止」などのリスクが生じる根拠を説明するにあたり、多くの場合ではこれらの被害が顕在化する際のサイバー攻撃のシナリオが報告されています。

サイバー攻撃のシナリオは、正確性を重視すると専門用語の羅列になってしまうため、経営層が理解できる「標的型メール」「ランサムウェア」「内部不正」などのキーワードをシナリオの代替として扱うケースが散見されます。このようなキーワードのみでは、リスクだけでなくその根拠となるシナリオも毎年同じ内容になってしまい、自社が抱えるリスクを正確に報告できていないだけでなく、何ら対策が進んでいないように読み取れてしまいます。

このような報告内容では、経営層がサイバーセキュリティの実情を理解し、リーダシップを発揮することは難しいと言えます。

サイバーインテリジェンスを活用した経営層報告

経営層へのリスクレポートを改善する１つの解として、サイバーインテリジェンスの活用が挙げられます。正しく活用することで、例えば「当社を狙うサイバー攻撃者が利用する攻撃手法のうち68%は防御でき、残りの20%は検知できます」といった、具体的な報告を行うことが可能になります。

サイバーインテリジェンスの活用例

PwCのサイバーインテリジェンスでは、世の中で観測されているサイバー攻撃手法の全量および、それらの中からクライアント企業を狙う恐れのある脅威アクターの攻撃手法を一覧化することができます（下図左）。

本図の「フェーズ」では、「悪意のあるプログラムが配送される」「それが実行される」「攻撃者とのコネクションが形成される」といった攻撃の順序を示します。またフェーズの下に並ぶ「攻撃」は、当該フェーズで用いられる攻撃手法やテクニックを示します。オレンジの背景色は、自社を狙う脅威アクターが用いる攻撃手法を示します。

このようなフォーマットで可視化されたサイバー攻撃手法の全量に対して、自社のセキュリティ対策の効果を測定できれば、現行のセキュリティ対策の効果を確認できると同時に、保有するサイバーリスクの全量を把握することもできます（上図右）。

また、この結果を要約することで、冒頭に記載したように具体的な数値と根拠をもって、自社が抱えるサイバーリスクの状況を経営層に報告することができます。さらに、新たに観測された脅威手法を本レポートに組み入れることができれば、「新たな攻撃手法の台頭により、前年度68%の防御機能が50%に落ち込み、情報漏洩などのリスクが高まっている」といったように、説得力のある報告が可能となります。

セキュリティ戦略への昇華

上述のサイバーインテリジェンスを活用したレポートを、企業におけるシステム環境単位で作成することで、積極的に投資すべきシステム環境^※が見えてきます。

システム環境単位でのレポートを比較すると、サイバー攻撃に対して脆弱なシステム環境が浮き彫りになり、セキュリティ耐性を向上するために企業が優先的に投資すべき環境が明らかになります（下図）。

※この場合の「システム環境」とは、IT環境、OT環境、グループ子会社、海外拠点などを指します。

また、グループ子会社や海外拠点のレポートを同様に比較することで、グループガバナンスの戦略が見えてきます。

企業にとってのサイバーリスク（攻撃者が用いる攻撃手法）は、その企業の地理的環境や業種によって異なります。例えば、コングロマリット企業においては、ネットビジネスや金融系ビジネスなどの事業の違いによって攻撃者は異なり、その攻撃手法にも違いが生じます。

つまり、グループ全体で共通するリスク（攻撃手法）に対する対策と、個社単位のリスクへの対策を、より具体的にグループガバナンスとして整理することが可能となります。

おわりに

サイバーインテリジェンスを活用することで、経営層に対して自社が抱えるサイバーセキュリティリスクを具体的かつ明瞭に報告することが可能となります。なぜ、10年もの長い間にわたって標的型攻撃に対してセキュリティ予算を投じ続ける必要があるのか。その答えを論理的に説明するにあたり、サイバーインテリジェンスの活用が有効な手立てになるでしょう。

主要メンバー

辻大輔

パートナー, PwCコンサルティング合同会社

サイバーインテリジェンス活用によるセキュリティ課題の解決

5 results

2023-02-28

グローバル企業のSOCにおけるサイバーインテリジェンス活用のポイント

連載「サイバーインテリジェンス活用によるセキュリティ課題の解決」の最終回として、本稿ではサイバーインテリジェンスを活用したグローバル企業におけるSOC（Security Operation Center）の運営について解説します。

2023-02-22

ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

本稿では、Webアプリケーション開発におけるセキュリティ対策の課題に対し、連載の第1回で取り上げたサイバーインテリジェンス（主にOperations観点）を活用したアプローチについて考察します。

2023-02-16

新たなセキュリティ戦略のあり方とは？ - サイバーインテリジェンスを活用した戦略立案

連載「サイバーインテリジェンス活用によるセキュリティ課題の解決」の第3回では、「フレームワーク型」の戦略立案手法の課題と、これからのセキュリティ戦略・施策立案のあるべき手法について考察します。

2023-01-13

経営層の意思決定につながるサイバーセキュリティリスクレポートとは

サイバー攻撃の手法は日々進化している一方、従来型のサイバーリスクへの対応アプローチでは新たな攻撃へタイムリーに対応ができず、後手に回る恐れがあります。そのような状況に対し「サイバーインテリジェンス」を活用することが有効な手立ての一つとされています。本稿では、サイバーインテリジェンスを活用した経営層向けのレポートのあり方について解説します。

サイバーインテリジェンス

20 results

2025-03-14

Digital Trust Insights 2025：CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める

PwCが世界77カ国・7地域のビジネス・テクノロジー・セキュリティなどの分野の経営層4,042名を対象に実施した調査結果をもとに、本レポートではセキュリティ強化の上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

2024-06-13

ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題

日本シノプシス合同会社とPwCコンサルティング合同会社が実施したセキュリティ対策状況に関する調査をもとに、企業のソフトウェアサプライチェーンに対する取り組みの現状と今後求められるセキュリティ活動について考察します。

2024-04-17

Digital Trust Insights 2024：増加するデジタル規制の情報格差をどのように埋めるのか

本稿では、世界71カ国・7地域のビジネス・テクノロジー・セキュリティ分野の経営者3,876名を対象に行った調査結果を基に、セキュリティ強化を進める上で日本企業が抱える課題と課題解決のためのアプローチ、その有効性について解説します。

2024-03-18

CxOプレイブック：セキュリティをイノベーションの中核に

本調査では、世界71カ国3,800名を超える経営幹部の意見から、リスクを低減させ競合他社よりも高い生産性と急速な成長を実現できるポジションに自社を立たせるためのサイバーセキュリティ上の対策において、CxOが対処すべき重要課題を明らかにしています。

サイバーインテリジェンス活用によるセキュリティ課題の解決－経営層の意思決定につながるサイバーセキュリティリスクレポートとは

はじめに

経営層へのリスクレポートにおける課題

リスクの大きさ

リスクの根拠

サイバーインテリジェンスを活用した経営層報告

サイバーインテリジェンスの活用例

セキュリティ戦略への昇華

おわりに

主要メンバー

サイバーインテリジェンス活用によるセキュリティ課題の解決

グローバル企業のSOCにおけるサイバーインテリジェンス活用のポイント

ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

新たなセキュリティ戦略のあり方とは？ - サイバーインテリジェンスを活用した戦略立案

経営層の意思決定につながるサイバーセキュリティリスクレポートとは

サイバーインテリジェンス

Digital Trust Insights 2025：CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める

ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題

Digital Trust Insights 2024：増加するデジタル規制の情報格差をどのように埋めるのか

CxOプレイブック：セキュリティをイノベーションの中核に

最新のサイバーセキュリティ＆プライバシーコラム・対談

各国サイバーセキュリティ法令・政策動向シリーズ（4）メキシコ

各国サイバーセキュリティ法令・政策動向シリーズ（3）シンガポール

金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係

各国サイバーセキュリティ法令・政策動向シリーズ（2）インド

はじめに

経営層へのリスクレポートにおける課題

リスクの大きさ

リスクの根拠

サイバーインテリジェンスを活用した経営層報告

サイバーインテリジェンスの活用例

セキュリティ戦略への昇華

おわりに

主要メンバー

サイバーインテリジェンス活用によるセキュリティ課題の解決

グローバル企業のSOCにおけるサイバーインテリジェンス活用のポイント

ウェブアプリケーション開発におけるサイバーインテリジェンスの活用

新たなセキュリティ戦略のあり方とは？ - サイバーインテリジェンスを活用した戦略立案

経営層の意思決定につながるサイバーセキュリティリスクレポートとは

サイバーインテリジェンス

Digital Trust Insights 2025：CxOとCISOの連携が、複雑化するデジタル法規制によって生じるギャップを埋める

ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題

Digital Trust Insights 2024：増加するデジタル規制の情報格差をどのように埋めるのか

CxOプレイブック：セキュリティをイノベーションの中核に

最新のサイバーセキュリティ＆プライバシー コラム・対談

各国サイバーセキュリティ法令・政策動向シリーズ（4）メキシコ

各国サイバーセキュリティ法令・政策動向シリーズ （3）シンガポール

金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係

各国サイバーセキュリティ法令・政策動向シリーズ （2）インド

関連サービス

サイバーセキュリティ＆プライバシー

サイバーインテリジェンス

サイバーセキュリティコンサルティング

サイバーセキュリティテクノロジー

最新のサイバーセキュリティ＆プライバシーコラム・対談

各国サイバーセキュリティ法令・政策動向シリーズ（3）シンガポール

各国サイバーセキュリティ法令・政策動向シリーズ（2）インド