次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
次世代セキュリティマネジメントモデル~サイバーインテリジェンスを活用したサイバーリスク評価の高度化
2022-03-24
正確な脅威の把握が必要
本シリーズの第1回「次世代セキュリティモデル~サステナブルなセキュリティ態勢」では、セキュリティコストを最適化し、持続可能なセキュリティ態勢を実現するための取り組みとして、「動的なセキュリティマネジメントシステム」および「機先を制するインテリジェンス」の活用が必要である点を紹介しました。また、企業は自社に残留するサイバーリスクが一定であると信じていること、その原因が日々変化している自社の脅威を正確に把握できてないこと、自社のセキュリティ能力の変化を認知できていないことに注意すべきであるという点について説明しました。本稿では、こうした課題構造のうち、サイバーリスク評価に必要となる「正確な脅威の把握」について考察します。
現状のリスク評価フレームワークの課題
「正確な脅威の把握」を実現するためには、評価の適時性および妥当性の担保が求められます。企業を取り巻く外部環境としての脅威は、社会情勢やサイバー攻撃者の動向など、さまざまな要因により日々変化しています。一方、企業のリスクマネジメント活動は多くの場合、リスクアセスメントを年次実施し、その結果に基づいてリスクへの対応を計画・実行します。これは、リスク評価の結果が1年間変動しないと見なすことを意味し、適時性の上での課題があると言えます。
またPwCの調査結果*1では、組織が準拠する標準・ガイドラインの上位2つとしてISO/IEC27001(ISMS)、NISTサイバーセキュリティフレームワーク(NIST CSF)が挙げられていることが報告されています。ISMSでは、情報資産を洗い出し、その情報資産に関する機密性・完全性・可用性の観点から価値・脅威・脆弱性を評価し、それらを掛け合わせることでリスク値を算出します。この中で脅威は、「〇〇〇(資産)に対する盗聴」といった脅威事象に対する発生確率・頻度を「高」「中」「低」といった定性的な尺度で評価します。一方、NIST CSFは、組織が具備すべきセキュリティ対策の一覧、および成熟度評価の考え方を提供しているもののあるべき姿と現状にギャップが存在した場合の想定脅威、その発生確率・頻度の評価に対するガイダンスを提供していません。そのため、組織は想定脅威の発生確率・頻度を踏まえ、対策の優先度を独自に決定する必要があります。このように、現在一般に広く利用されている標準・ガイドラインにおいても脅威の評価に関する妥当性には曖昧さが残り、改善の余地があると言えます。
サイバーインテリジェンス活用により脅威に対する解像度を高める
近年提唱されているサイバーインテリジェンスでは、サイバーリスクおよび脅威を以下のように要素分解しています。*2
- サイバーリスク = 影響度 x 脆弱性 x 脅威
- 脅威 = 意図 x 能力 x 機会
インテリジェンスは軍事活動における情報収集、分析、意思決定の支援に係る活動を起源としており、自組織だけでなく自組織を取り巻く外部環境、特に相対する仮想敵国を想定したうえで自組織と仮想敵国の関係性における脅威を認知・分析するものです。そのため「漠然とした誰か」ではなく想定した仮想敵国の意図・能力・機会まで踏み込んだ分析を行います。これをサイバーセキュリティの文脈に当てはめると、脅威を「標的型攻撃」「ランサムウェア感染」のように漠然と捉えるのではなく、自組織に関連する具体的な脅威アクターを想定し、当該脅威アクターの意図・能力・機会に基づいて脅威を評価することになります。そして、自組織に内包される影響度、脆弱性と掛け合わせることでサイバーリスクを評価します。
こうした評価を行う上でまず重要になるのは、自組織に関連する脅威アクターを明確にすることです。インテリジェンスは上記のとおり、自組織と相対する敵対組織との関係性において発生する概念です。そのため、敵対組織が不明慮な状態では当然その意図・能力・機会を評価することはできません。また敵対組織の一般論としての意図・能力・機会に関する情報だけでは評価としては不十分です。そうした情報と自組織の活動地域、業種・業界、所有資産、PR/IRなどの対外活動といった事業特性・活動を踏まえ、自組織に関連する脅威アクターを明確にする必要があります。
サイバーインテリジェンスの活用方法とその効果
組織のリスクマネジメント活動において想定される脅威アクターの全てを洗い出すことは現実的には困難です。そのため、従来のリスクアセスメントによるリスク評価をベースラインとしつつ、サイバーインテリジェンス活動による評価結果を用いてリスク評価を補正する、リスク対応計画を修正する、セキュリティ機器の設定変更・パッチ適用・注意喚起など必要な措置を直ちに実施する、といった対応が求められます。こうした運用を実現することで、自組織に関連する攻撃の可能性、その手法・手口といった脅威を具体的に捉え、必要となる打ち手をより迅速に講じることができます。こうした取り組みを実現するためには、自組織に沿ったサイバーインテリジェンスサイクルを構築・運用することが肝要となります。詳細については、「2021年 Cyber IQ調査 - 機先を制するセキュリティへの転換」*3も併せてご覧ください。
次回は、動的なセキュリティ管理を実現するためのセキュリティメトリクスについて紹介します。
次世代セキュリティマネジメントモデル
6 results
Loading...
次世代セキュリティマネジメントモデル第5回~将来を見据えた慶應義塾大学との共同研究
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
次世代セキュリティマネジメントモデル第3回~アジリティの高いセキュリティマネジメントシステム
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
Loading...
