TOPセキュリティ > サイバーセキュリティーの数値化の難しさ(上)

セキュリティ

サイバーセキュリティーの数値化の難しさ(上)

2021/10/11

Mary K. Pratt CSO

 企業のセキュリティーチームや最高情報セキュリティー責任者(CISO)にとって、防御できた攻撃の数は重要である。しかし、取締役会などで示す指標として見た場合、同じように重要な意味を持つとは限らない。

Credit: wutzkohphoto / Shutterstock
Credit: wutzkohphoto / Shutterstock

 情報セキュリティーサービス企業Tiro SecurityのバーチャルCISOサービスに従事しているJenai Marinkovic氏は、防御した攻撃の数にさほど重きを置いていない。こうした数字は洞察につながらないと同氏は言う。

 「100万回の攻撃をブロックしたと説明しても、その意味は伝わらない。他の幹部たちに十分に通じるものではない」

 企業のCISOは、自分自身や他の幹部の意思決定に役立つような代わりの指標を見つけ、アクションのための情報を得る必要があるとMarinkovic氏は話し、「会社を支える数字でなくてはならない」と強調する。

 CISOにとって数値化が必要な対象として同氏が挙げるのは、ビジネスにもたらした効果の度合い、投資に対して得たリターンの度合い、セキュリティー体制の改善に役立った度合いなどだ。

 こうした数値化の方法を見いだすことは、CISOにとって古くからの難題である。

 Marinkovic氏の場合は、侵害の通知を得るまでの平均時間や、封じ込めまでの平均時間を割り出している。どちらも、取締役会に提示するのに適した運用上の指標だ。

 しかし、これらを割り出したとしても、決して全体像を把握できるわけではないと同氏は言う。こうした指標は、セキュリティー機能の成熟度を示すものでもなければ、セキュリティー統制と戦略的目標との整合性の度合いを示すものでもない。そうした目的なら、おそらくは定量的な指標ではなく定性的な指標を扱うことになると同氏は話す。

↑ページ先頭へ