次世代セキュリティマネジメントモデル～セキュリティメトリクスとダッシュボードの実装

2022-04-18

メトリクスとダッシュボードに求められること

本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。

セキュリティメトリクスとは、簡単にいえば「サーバへのパッチ適用率」のような定量的な指標の集合体です。しかし、本稿で述べるセキュリティメトリクスは、単なる現場目線の定量化指標とは一線を画し、動的なセキュリティマネジメントのエンジンとなることを目指しています。

図1のように、メトリクスは個々のセキュリティ業務や外部から提供されるインテリジェンスを吸い上げ、ダッシュボードによる可視化を介して、セキュリティ戦略・方針にインプットする役割を果たします。すなわち、メトリクスは個々の指標がKPI（Key Performance Indicator）やKRI（Key Risk Indicator）としての意味を持つだけでなく、指標の集合体としても何らかの方向性を示唆すべきものであるといえます。そして、ダッシュボードもこれらの方向性・示唆を正しく引き出し、理解しやすい形で提示する必要があります。

15分の解説動画で、本サービスをより深く理解する

【解説動画】脅威に対する戦術をアップデートするメトリクスによる動的なセキュリティ態勢

設計のアプローチ

前述のように、動的なセキュリティマネジメントのエンジンとなるメトリクスおよびダッシュボードを実装するためには、セキュリティ管理の現場目線に基づく指標をボトムアップに寄せ集めるのではなく、本シリーズで述べてきた「アジリティを高め、セキュリティの費用対効果を改善する」という目的を念頭に、次の論点①～③に答えつつ設計する必要があります。

論点①：キーサクセスファクター（KSF）は何か

企業におけるセキュリティ活動は、「脆弱性管理」や「データ保護」といった一定のまとまった要素に分解することができます。これらの要素の全体像や分け方は、一般論としてある程度のコンセンサスやベストプラクティスがあるものの、企業の構造や事業内容などに応じて振れ幅はあります。また、これらの要素のどれがより重要で、高解像度で可視化すべきなのかは、メトリクス利活用の目的により変動します。したがって、企業は自社のセキュリティ活動においてカギとなる要素、すなわちKSFを特定することが重要です。

論点②：測定すべき対象は何か

各KSFをどのような観点で定量化をすべきかは、企業のセキュリティに関する成熟度や目指す水準などによって異なります。一例として「脆弱性管理」を考えましょう。ある程度成熟度が高く、脆弱性を有する資産の把握からパッチ適用までの運用が定常的に回っているような企業では、よりリスクを低減するために運用の迅速化を目指し、「脆弱性の発見から対応完了までのリードタイム」を測定することが有効かもしれません。一方で、業務や環境の性質上パッチ適用に関する律速があり、迅速性を高める難度にリスク低減の効果が見あわないような場合、「リードタイム」を測定する意義はあまりない可能性があります。あるいは、そもそも成熟度が低く、脆弱性管理が場当たり的な企業では、運用を定着させるために「パッチ適用完了率」のような指標を定めることから始めるべきでしょう。このように、同じKSFをとっても、定量化の仕方は企業の状態によってまちまちであり、かつ成熟度の変化に伴って継続的に見直されるべきと考えられます。

論点③：いかにして速やかな行動につなげるか

論点①②を経てメトリクスが定式化されても、それらがただの数値の羅列として並んでいるようでは、戦略や方針のインプットとなるような示唆は得られず、具体的な行動につながりません。また、結果の解釈に高い専門性や膨大な分析時間を必要としていては、セキュリティマネジメントのアジリティを高めるエンジンにはなり得ません。個々の実測値から目的に適った示唆を受け取り、誰もが速やかに行動に移るためには、適切な切り口や表現（グラフの形式や集計方法など）で結果を可視化することが重要です。例えば、多数のグループ会社に対しセキュリティ管理の水準を底上げし、統一することを促したければ、グループ会社間の横比較ができるよう各社の状況をスコアリングするという方法が有効かもしれません。また、事業のリスクに鑑みセキュリティ投資を最適化するには、残存するリスクの量に焦点をあてて可視化することが効果的と考えられます。このように、目的に合った示唆を引き出し、速やかに行動につなげるために、最適な表現方法でダッシュボードを設計します。

実装で直面しうる課題

PwCはこれまで、いくつかの先進的な企業に対し、メトリクスの実装を支援してきました。その経験から、「データ取得の実現性」と「行動につながるスキームの設計」という2点は、メトリクスの実装を検討している多くの企業が直面する共通の課題になり得ると考えています。

データ取得の実現性

メトリクスとして測定する対象をトップダウンで定めても、必要な数値が現場で記録されておらず、算出元となるデータが正しく取得できないケースが想定されます。また、たとえ数値が残されていたとしても、用語の定義が部署ごとにばらついていて、同じデータとして比較できないというようなケースも考えられます。このように、そもそも必要なデータが取得できず、メトリクスが意図した目的を果たせないという状況は多くの企業で発生する可能性があるため、メトリクスの実装においてデータ取得の実現性は主要な課題の1つと考えられます。こうした課題を回避・解消するためには、メトリクスの実装と併せてセキュリティ業務を棚卸し、必要に応じ標準化する、取得データに関係する用語の定義を統一する、必要なデータを可能な限り自動で取得できるようシステムやセキュリティ機器の構成・設定を変更するなど、前提となる運用を見直すことが重要です。

行動につながるスキームの設計

前述のように、メトリクスはアジリティの高い動的なセキュリティマネジメントのエンジンであり、セキュリティ管理に関する方向性を示し、速やかな行動を促すことが重要です。そのためにまずは「論点③」で示したように可視化の切り口や表現を適切に設計し、「得たい示唆」を誰もが正しく速やかに受け取れるようにする必要があります。これに加え、メトリクスが単に「中央が現場を監視・管理するだけのツール」とならないよう、セキュリティ管理に関わる全ての者が主体的にメトリクスに向き合い、次なる行動につながる示唆を取りに行けるようなスキームを築く必要があります。そのためにはメトリクスを活用するタイミングを明確にするとともに、これに基づく行動がもたらした効果や成果をタイムリーにフィードバックするなど、透明性の高い運用を積み重ねることで、組織全体にメトリクスを活用する文化を醸成していくことが重要です。

PwCの知見

セキュリティメトリクスとダッシュボードは動的なセキュリティマネジメントの一翼を担う重要な機能である一方、実装においてはいくつかの乗り越えるべき課題があります。メトリクスやダッシュボードの実効性を担保するためには、場合によってはセキュリティ管理の仕組みや業務、あるいは組織全体の文化の変革を並行して進める必要があるかもしれません。PwCは、これまでさまざまな企業への支援で培った知見を元に、メトリクス実装とそれに伴う変革を包括的にご支援することができます。また、PwCグローバルネットワークが提供するサイバーリスクレポートのためのプラットフォームを活用し、各企業の目的に合った可視化方法をアジャイル的に実装していくことも可能です。

第7回では、サイバーリスクレポートのためのプラットフォームについてご紹介します。

執筆者

上村益永

パートナー, PwCコンサルティング合同会社

大貫経介

シニアマネージャー, PwCコンサルティング合同会社