次世代セキュリティマネジメントモデル~将来を見据えた慶應義塾大学との共同研究

2022-04-22

次世代セキュリティマネジメントモデルの確立に向けた課題

本シリーズでこれまで述べてきた通り、外部ガイドラインなどを参考に一定のセキュリティ水準に達している企業については、サステナブルなセキュリティ態勢の実現に向け、次世代セキュリティマネジメントモデルへの移行を進めるべきと考えます。「次世代セキュリティマネジメントモデル第4回~セキュリティメトリクスとダッシュボードの実装」で紹介した通り、実際に、次世代セキュリティマネジメントモデルへの変革を遂げ、自組織のセキュリティ状態を常時把握したうえで、企業のセキュリティ水準を適時適切にコントロールできている企業も少しずつ増えてきています。しかしながら、これらの企業であっても、セキュリティメトリクスの実装・運用にあたって、以下のような課題に直面するケースが散見されます。

課題例1:セキュリティメトリクスの設計が最適ではない

これまで多くの企業では、セキュリティメトリクスは社内のセキュリティの専門人材や外部コンサルタントの知見・経験則に基づいて設計されてきました。しかし、「最適なセキュリティメトリクスが設計されているか」と問われ、理論的に答えられる企業は多くないでしょう。セキュリティメトリクスから効果的な方向付けを得られない、セキュリティメトリクスに対するターゲット(閾値)設定に理論的な妥当性がない、セキュリティメトリクスとして表現されるセキュリティ活動や脅威が偏っている、といった課題を持つ企業は多いと考えられます。

課題例2.:セキュリティメトリクスに必要なデータが把握されていない

セキュリティメトリクスは、各業務やシステムのデータをインプットすることで算出されます。しかしながら、セキュリティメトリクスに必要なデータをあらかじめ整理せず、取得したデータを場当たり的に利用するだけで、結果としてセキュリティメトリクスから有効な示唆を見出せず、効果的な取り組みにつながっていないケースが多く見受けられます。

課題例3.:脅威や外的環境の変化を可視化できていないメトリクス

脅威を把握し、セキュリティ活動と脅威を照らし合わせることで、必要十分なセキュリティ対策を講じることができます。しかしながら、多くの企業はセキュリティメトリクスを運用していても、セキュリティ活動の可視化のみにとどまっており、脅威の可視化までは実現できていません。その原因としては、サイバーインテリジェンスを正確に読み取れない、あるいは正確に読み取れても、どのようにセキュリティメトリクスとして落とし込めるかまで分からない、ということが考えられます。

執筆者

上村 益永

パートナー, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

渕 遼亮

マネージャー, PwCコンサルティング合同会社

Email

次世代セキュリティマネジメントモデル


最新のサイバーセキュリティ&プライバシー コラム・対談

20 results
Loading...

経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」に基づくセキュリティ対策の進め方

「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」は、工場環境に適したセキュリティ対策の進め方や具体的なプロセスを説明し、PDCAサイクルを前提とした管理方法を提案しています。対策の検討・実装において参考となる資料の紹介と併せて解説します。

IoT適合性評価制度が作るセキュアなIoT社会

IoT機器のセキュリティ品質を評価し、ラベルによって可視化するIoT適合性評価制度が各国で議論・運用されています。この制度によりメーカーが製品のセキュリティ品質を訴求するだけでなく、消費者側も安全な製品を選択できるようになると期待されます。IoT適合性評価制度の狙いや全体像、社会実装に伴う影響を解説します。

Loading...