{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
次世代セキュリティマネジメントモデル~将来を見据えた慶應義塾大学との共同研究
2022-04-22
次世代セキュリティマネジメントモデルの確立に向けた課題
本シリーズでこれまで述べてきた通り、外部ガイドラインなどを参考に一定のセキュリティ水準に達している企業については、サステナブルなセキュリティ態勢の実現に向け、次世代セキュリティマネジメントモデルへの移行を進めるべきと考えます。「次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装」で紹介した通り、実際に、次世代セキュリティマネジメントモデルへの変革を遂げ、自組織のセキュリティ状態を常時把握したうえで、企業のセキュリティ水準を適時適切にコントロールできている企業も少しずつ増えてきています。しかしながら、これらの企業であっても、セキュリティメトリクスの実装・運用にあたって、以下のような課題に直面するケースが散見されます。
課題例1:セキュリティメトリクスの設計が最適ではない
これまで多くの企業では、セキュリティメトリクスは社内のセキュリティの専門人材や外部コンサルタントの知見・経験則に基づいて設計されてきました。しかし、「最適なセキュリティメトリクスが設計されているか」と問われ、理論的に答えられる企業は多くないでしょう。セキュリティメトリクスから効果的な方向付けを得られない、セキュリティメトリクスに対するターゲット(閾値)設定に理論的な妥当性がない、セキュリティメトリクスとして表現されるセキュリティ活動や脅威が偏っている、といった課題を持つ企業は多いと考えられます。
課題例2.:セキュリティメトリクスに必要なデータが把握されていない
セキュリティメトリクスは、各業務やシステムのデータをインプットすることで算出されます。しかしながら、セキュリティメトリクスに必要なデータをあらかじめ整理せず、取得したデータを場当たり的に利用するだけで、結果としてセキュリティメトリクスから有効な示唆を見出せず、効果的な取り組みにつながっていないケースが多く見受けられます。
課題例3.:脅威や外的環境の変化を可視化できていないメトリクス
脅威を把握し、セキュリティ活動と脅威を照らし合わせることで、必要十分なセキュリティ対策を講じることができます。しかしながら、多くの企業はセキュリティメトリクスを運用していても、セキュリティ活動の可視化のみにとどまっており、脅威の可視化までは実現できていません。その原因としては、サイバーインテリジェンスを正確に読み取れない、あるいは正確に読み取れても、どのようにセキュリティメトリクスとして落とし込めるかまで分からない、ということが考えられます。
セキュリティメトリクスの在るべき姿
NISTなどは以前からセキュリティメトリクスの必要性を提唱しており、それ自体は新しい発想ではありません。そして、多くの組織は「理想」としてはセキュリティメトリクスの有用性を認めています。しかし、ベストプラクティスと呼べるメトリクスセットや、その算定のために必要な具体的なデータの内容および取得方法などが確立されていないという「現実」から、導入はしたものの先述したような課題に直面し、期待する効果が得られず計画が頓挫してしまうケースが多々見受けられます。
では、どのようにすればこの「理想」と「現実」の隔たりを埋めることができるのでしょうか。これらの課題に鑑み、PwCでは次世代セキュリティマネジメントモデルのキーソリューションと位置付けられるセキュリティメトリクスの在るべき姿や方法論を確立すべく、取り組みを推進しています。
PwCではこの取り組みを進めるにあたっては、セキュリティメトリクスを理想的に実装・運用するアーキテクチャを描き、これに各企業の実態や課題をフィードバックした上で、斬新なアイデアや最先端の知見・技術を駆使することが重要であると考えています。そのためには、「セキュリティメトリクス設計におけるコンサルタントの経験則に理論的な裏付けを確認し定式化すること」「最新のデータ活用手法に基づいて効果的なセキュリティメトリクスを発掘すること」「外的環境や脅威における各企業への影響を定量化すること」などの検討が必要となります。
慶應義塾大学との共同研究
PwCでは、このチャレンジの最適解を導出するためにはアカデミアとコラボレーションし、いまだ実用化に至っていない最先端の知見・技術や、他分野における理論の適用なども検討の俎上に上げ、産学連携によって知を創出することが有効であると考えています。そこでPwCは2021年10月、慶應義塾大学との共同研究を開始しました。慶應義塾大学の知見・技術とPwCのサイバーセキュリティに関する多くの企業への提供実績を組み合わせ、セキュリティメトリクスの実装・運用の高度化・最適化を目指しています。研究のポイントは以下のとおりです。
研究ポイント1. 最適なセキュリティメトリクスの定義
この研究では、これまで、多くの企業がコンサルタントの知見や経験則に基づいて実装してきたセキュリティメトリクスを分析します。企業のどのような特性がセキュリティメトリクスの在り方に影響を及ぼすかをリサーチし、各企業にとって最適なセキュリティメトリクスを定義することを目指しています。
研究ポイント2. サイバーインテリジェンス連動型セキュリティメトリクス
この研究では、サイバーインテリジェンスから脅威・リスクを正確に読み取る手法や、サイバーインテリジェンスに呼応するセキュリティメトリクスをリサーチし、サイバーインテリジェンスに有機的に連動するセキュリティメトリクスの実装を目指しています。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
