TOPセキュリティ > サイバーセキュリティーの数値化の難しさ(中)

セキュリティ

サイバーセキュリティーの数値化の難しさ(中)

2021/10/13

Mary K. Pratt CSO

 企業のセキュリティーチームや最高情報セキュリティー責任者(CISO)にとって、防御できた攻撃の数は重要である。しかし、取締役会などで示す指標として見た場合、同じように重要な意味を持つとは限らない。

前回から続く)

数値化の難しさ

Credit: michal parzuchowski / Unsplash
Credit: michal parzuchowski / Unsplash

 セキュリティーに関する取り組みを数値化する方法について、CISOたちは多くのハードルに直面してきた。

 まずは、セキュリティープログラムの評価に必要な情報を収集する。各種データソースのデータを手作業で集めることが多く、これは現在も引き続き課題となっている。

 そのうえで、数多くの複雑なプロセスやツールで得た結果を物差しに当てはめることを試みる。だが、そこで扱っているデータは、コンテキスト抜きでは意味が通じない。例えば、事業部門の幹部が相手の場合、「売上高が100万ドル」という説明は誰にでも通じるが、「ブロックした攻撃が100万回」という説明は、果たして良い話なのか悪い話なのか、相手にとってはなかなか理解しにくいし、話がまったく通じない場合もある。

 Deloitte Advisoryのサイバーリスクサービス担当ディレクター、John Gelinne氏は言う。「例えば財務諸表なら、各所から得たデータを取りまとめて皆に見せた時に、全員に意味が通じる。しかし、サイバーやサイバーリスクに関しては、取締役会にこれさえ提示すれば済むというような書面はない。すべてを集計して誰もが理解できる1つのビューにまとめられるようなリスクスコアリングエンジンは存在しない」

 同氏はさらに続ける。「これは難題だ。全員が理解できるように情報を取りまとめるにはどうすればよいだろうか」

 事象が発生しなかったことが持つ価値をいかに数値化するかという面でも、CISOはこれまで苦労してきた。情報保証サービスを手がけるNCC Groupのシニアアドバイザー兼セキュリティー担当ディレクターのTim Rawlins氏は次のように話す。「災難が何も起きなかったことを表す指標を考え出したうえで、取締役会に対し、『今後も災難を招かずに済むよう予算を増やしてほしい』と説得するのは簡単ではない」

 だが、状況には変化の兆しも見られる。

 「CISOらは、危害やリスクに対する安全度がどの程度高まったか、対外的に問題となるデータ流出をどの程度防げたかを数値化できる指標を編み出しつつある。簡単なことではないが、先進的なCISOたちは、『サイエンスとしてのサイバー』に目を向け、再現性がある評価の手法や指標を見い出しつつあり、トレンドを示したりベンチマークを取ったりするのに利用している」とRawlins氏は言う。

↑ページ先頭へ