次世代セキュリティマネジメントモデル第6回~メトリクス実運用に向けたデータ標準化の動向
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
2022-04-22
本シリーズでこれまで述べてきた通り、外部ガイドラインなどを参考に一定のセキュリティ水準に達している企業については、サステナブルなセキュリティ態勢の実現に向け、次世代セキュリティマネジメントモデルへの移行を進めるべきと考えます。「次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装」で紹介した通り、実際に、次世代セキュリティマネジメントモデルへの変革を遂げ、自組織のセキュリティ状態を常時把握したうえで、企業のセキュリティ水準を適時適切にコントロールできている企業も少しずつ増えてきています。しかしながら、これらの企業であっても、セキュリティメトリクスの実装・運用にあたって、以下のような課題に直面するケースが散見されます。
これまで多くの企業では、セキュリティメトリクスは社内のセキュリティの専門人材や外部コンサルタントの知見・経験則に基づいて設計されてきました。しかし、「最適なセキュリティメトリクスが設計されているか」と問われ、理論的に答えられる企業は多くないでしょう。セキュリティメトリクスから効果的な方向付けを得られない、セキュリティメトリクスに対するターゲット(閾値)設定に理論的な妥当性がない、セキュリティメトリクスとして表現されるセキュリティ活動や脅威が偏っている、といった課題を持つ企業は多いと考えられます。
セキュリティメトリクスは、各業務やシステムのデータをインプットすることで算出されます。しかしながら、セキュリティメトリクスに必要なデータをあらかじめ整理せず、取得したデータを場当たり的に利用するだけで、結果としてセキュリティメトリクスから有効な示唆を見出せず、効果的な取り組みにつながっていないケースが多く見受けられます。
脅威を把握し、セキュリティ活動と脅威を照らし合わせることで、必要十分なセキュリティ対策を講じることができます。しかしながら、多くの企業はセキュリティメトリクスを運用していても、セキュリティ活動の可視化のみにとどまっており、脅威の可視化までは実現できていません。その原因としては、サイバーインテリジェンスを正確に読み取れない、あるいは正確に読み取れても、どのようにセキュリティメトリクスとして落とし込めるかまで分からない、ということが考えられます。
NISTなどは以前からセキュリティメトリクスの必要性を提唱しており、それ自体は新しい発想ではありません。そして、多くの組織は「理想」としてはセキュリティメトリクスの有用性を認めています。しかし、ベストプラクティスと呼べるメトリクスセットや、その算定のために必要な具体的なデータの内容および取得方法などが確立されていないという「現実」から、導入はしたものの先述したような課題に直面し、期待する効果が得られず計画が頓挫してしまうケースが多々見受けられます。
では、どのようにすればこの「理想」と「現実」の隔たりを埋めることができるのでしょうか。これらの課題に鑑み、PwCでは次世代セキュリティマネジメントモデルのキーソリューションと位置付けられるセキュリティメトリクスの在るべき姿や方法論を確立すべく、取り組みを推進しています。
PwCではこの取り組みを進めるにあたっては、セキュリティメトリクスを理想的に実装・運用するアーキテクチャを描き、これに各企業の実態や課題をフィードバックした上で、斬新なアイデアや最先端の知見・技術を駆使することが重要であると考えています。そのためには、「セキュリティメトリクス設計におけるコンサルタントの経験則に理論的な裏付けを確認し定式化すること」「最新のデータ活用手法に基づいて効果的なセキュリティメトリクスを発掘すること」「外的環境や脅威における各企業への影響を定量化すること」などの検討が必要となります。
PwCでは、このチャレンジの最適解を導出するためにはアカデミアとコラボレーションし、いまだ実用化に至っていない最先端の知見・技術や、他分野における理論の適用なども検討の俎上に上げ、産学連携によって知を創出することが有効であると考えています。そこでPwCは2021年10月、慶應義塾大学との共同研究を開始しました。慶應義塾大学の知見・技術とPwCのサイバーセキュリティに関する多くの企業への提供実績を組み合わせ、セキュリティメトリクスの実装・運用の高度化・最適化を目指しています。研究のポイントは以下のとおりです。
この研究では、これまで、多くの企業がコンサルタントの知見や経験則に基づいて実装してきたセキュリティメトリクスを分析します。企業のどのような特性がセキュリティメトリクスの在り方に影響を及ぼすかをリサーチし、各企業にとって最適なセキュリティメトリクスを定義することを目指しています。
この研究では、サイバーインテリジェンスから脅威・リスクを正確に読み取る手法や、サイバーインテリジェンスに呼応するセキュリティメトリクスをリサーチし、サイバーインテリジェンスに有機的に連動するセキュリティメトリクスの実装を目指しています。
セキュリティメトリクスを実装するにあたっては、「データ取得の実現性」が課題の1つとなっています。この課題の解決に寄与する「データ標準化」の動向について、近年の事例を踏まえながら解説します。
本稿では、セキュリティメトリクスの実装・運用にあたっての課題について解説し、PwCが進める慶應義塾大学との共同研究のポイントについて紹介します。
本稿では、動的なセキュリティマネジメントのエンジンとなるセキュリティメトリクスとダッシュボードについて、企業実装に向けた考え方をご紹介します。
本稿では、アジリティの高いセキュリティ態勢を実現するためのセキュリティメトリクスとダッシュボードについて紹介します。
金融業界のサイバーセキュリティ情報連携のための組織であるFS-ISACでCISOを務めるJohn Denning氏が、金融サービスにおけるAIの活用とリスク管理のアプローチについて解説します。
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。
「The Aspiring CIO and CISO(CIOおよびCISOを目指して)」の著者であるDavid Gee(デビッド・ギー)氏が自らの経験を基に、これからCIO (最高情報責任者)やCISO(最高情報セキュリティ責任者)を目指す方々に向けた心得と実践方法を解説します。
IoT機器のセキュリティ品質を評価し、ラベルによって可視化するIoT適合性評価制度が各国で議論・運用されています。この制度によりメーカーが製品のセキュリティ品質を訴求するだけでなく、消費者側も安全な製品を選択できるようになると期待されます。IoT適合性評価制度の狙いや全体像、社会実装に伴う影響を解説します。