次世代セキュリティマネジメントモデル～セキュリティメトリクスとダッシュボードの実装

設計のアプローチ

前述のように、動的なセキュリティマネジメントのエンジンとなるメトリクスおよびダッシュボードを実装するためには、セキュリティ管理の現場目線に基づく指標をボトムアップに寄せ集めるのではなく、本シリーズで述べてきた「アジリティを高め、セキュリティの費用対効果を改善する」という目的を念頭に、次の論点①～③に答えつつ設計する必要があります。

論点①：キーサクセスファクター（KSF）は何か

企業におけるセキュリティ活動は、「脆弱性管理」や「データ保護」といった一定のまとまった要素に分解することができます。これらの要素の全体像や分け方は、一般論としてある程度のコンセンサスやベストプラクティスがあるものの、企業の構造や事業内容などに応じて振れ幅はあります。また、これらの要素のどれがより重要で、高解像度で可視化すべきなのかは、メトリクス利活用の目的により変動します。したがって、企業は自社のセキュリティ活動においてカギとなる要素、すなわちKSFを特定することが重要です。

論点②：測定すべき対象は何か

各KSFをどのような観点で定量化をすべきかは、企業のセキュリティに関する成熟度や目指す水準などによって異なります。一例として「脆弱性管理」を考えましょう。ある程度成熟度が高く、脆弱性を有する資産の把握からパッチ適用までの運用が定常的に回っているような企業では、よりリスクを低減するために運用の迅速化を目指し、「脆弱性の発見から対応完了までのリードタイム」を測定することが有効かもしれません。一方で、業務や環境の性質上パッチ適用に関する律速があり、迅速性を高める難度にリスク低減の効果が見あわないような場合、「リードタイム」を測定する意義はあまりない可能性があります。あるいは、そもそも成熟度が低く、脆弱性管理が場当たり的な企業では、運用を定着させるために「パッチ適用完了率」のような指標を定めることから始めるべきでしょう。このように、同じKSFをとっても、定量化の仕方は企業の状態によってまちまちであり、かつ成熟度の変化に伴って継続的に見直されるべきと考えられます。

論点③：いかにして速やかな行動につなげるか

論点①②を経てメトリクスが定式化されても、それらがただの数値の羅列として並んでいるようでは、戦略や方針のインプットとなるような示唆は得られず、具体的な行動につながりません。また、結果の解釈に高い専門性や膨大な分析時間を必要としていては、セキュリティマネジメントのアジリティを高めるエンジンにはなり得ません。個々の実測値から目的に適った示唆を受け取り、誰もが速やかに行動に移るためには、適切な切り口や表現（グラフの形式や集計方法など）で結果を可視化することが重要です。例えば、多数のグループ会社に対しセキュリティ管理の水準を底上げし、統一することを促したければ、グループ会社間の横比較ができるよう各社の状況をスコアリングするという方法が有効かもしれません。また、事業のリスクに鑑みセキュリティ投資を最適化するには、残存するリスクの量に焦点をあてて可視化することが効果的と考えられます。このように、目的に合った示唆を引き出し、速やかに行動につなげるために、最適な表現方法でダッシュボードを設計します。

PwCの知見

セキュリティメトリクスとダッシュボードは動的なセキュリティマネジメントの一翼を担う重要な機能である一方、実装においてはいくつかの乗り越えるべき課題があります。メトリクスやダッシュボードの実効性を担保するためには、場合によってはセキュリティ管理の仕組みや業務、あるいは組織全体の文化の変革を並行して進める必要があるかもしれません。PwCは、これまでさまざまな企業への支援で培った知見を元に、メトリクス実装とそれに伴う変革を包括的にご支援することができます。また、PwCグローバルネットワークが提供するサイバーリスクレポートのためのプラットフォームを活用し、各企業の目的に合った可視化方法をアジャイル的に実装していくことも可能です。

第7回では、サイバーリスクレポートのためのプラットフォームについてご紹介します。