次世代セキュリティマネジメントモデル~セキュリティメトリクスとダッシュボードの実装

2022-04-18

メトリクスとダッシュボードに求められること

本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。

セキュリティメトリクスとは、簡単にいえば「サーバへのパッチ適用率」のような定量的な指標の集合体です。しかし、本稿で述べるセキュリティメトリクスは、単なる現場目線の定量化指標とは一線を画し、動的なセキュリティマネジメントのエンジンとなることを目指しています。

図1のように、メトリクスは個々のセキュリティ業務や外部から提供されるインテリジェンスを吸い上げ、ダッシュボードによる可視化を介して、セキュリティ戦略・方針にインプットする役割を果たします。すなわち、メトリクスは個々の指標がKPI(Key Performance Indicator)やKRI(Key Risk Indicator)としての意味を持つだけでなく、指標の集合体としても何らかの方向性を示唆すべきものであるといえます。そして、ダッシュボードもこれらの方向性・示唆を正しく引き出し、理解しやすい形で提示する必要があります。

図1 メトリクスの位置づけ

執筆者

上村 益永

パートナー, PwCコンサルティング合同会社

Email

大貫 経介

シニアマネージャー, PwCコンサルティング合同会社

Email

次世代セキュリティマネジメントモデル


最新のサイバーセキュリティ&プライバシー コラム・対談

20 results
Loading...

パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況

プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。

脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―

昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。

Loading...