サイバーリスク評価の定量化が組織にもたらすメリットとは

セキュリティ部門のリーダーにとって、自社のセキュリティリスクを定量化し評価することは、フィッシングメールや綿密に計画され実行が試行される多段階のランサムウェア攻撃などから組織を守る重要な最初のステップです。そして、継続的に実施すべきプロセスでもあります。

攻撃者が組織の環境にアクセスする可能性や、検出されたイベントの潜在的な影響などがセキュリティリスクとして定量化、評価されることで、セキュリティ部門はリスクの優先順位決定など多くのメリットや実行可能な知見を得ることができます。また、セキュリティの効率性や進捗状況の経過観測といった活動結果の定量化や共有も可能になります。

サイバーリスクの定量化は、セキュリティ部門以外にもメリットをもたらします。Gartnerによると、サイバーリスク定量化のユースケーストップ5のうち3つは、リスクの当事者や経営幹部、取締役会への報告など、様々なステークホルダーとのリスク状況に関するコミュニケーションとなっています。

Gartnerの調査によると、サイバーリスクの定量化を活用して、リスクの軽減やコスト削減、または実際の意思決定に影響を及ぼすような結果に結びつけている組織はまだ少ないようです。セキュリティ部門のリーダーはリスクの定量化に注力し、企業の戦略的意思決定において価値を生み出すことが期待されています。

リスク評価の進展とサイロ化の課題

サイバーリスクの定量化はこれまで、継続的ではなく一時的に、しかもパスワードの複雑性やデータの暗号化などを基準に行われてきました。
しかし、評価手法やフレームワークが進化するにつれて（例：NISTサイバーセキュリティフレームワーク）リスクの定量化で使用される情報の規模や判断基準が増え、高い精度で、継続的かつオンデマンドでもリスク評価をすることが可能になりました。

同時に、サイバーセキュリティ製品においても、その技術の進化に伴い、各ベンダー独自の評価基準が提供される時代になりました。技術革新により評価基準が進化する一方、エンドユーザはブラックボックス化された製品を扱わざるを得なくなり、個々のサイバー資産や組織全体に渡るリスクスコアを生成するための数式や優先順位づけの要因などについて、限られた知見しか把握できなくなっています。

つまり、セキュリティ担当者は、継続的（、網羅的／体系的）なリスク評価に基づいた意思決定を行うことがより困難になっています。また、ブラックボックス化された製品を扱うというアプローチは、スコアの信頼性や意図に対する懐疑や疑念を持たれる事態を招きかねません。

信頼できるサイバーリスク評価の6つの要素

サイバーリスク評価には、信頼性の高い評価を行うために以下の6つの要素が必要です。これらの要素を考慮することで、より精度の高いサイバーリスク評価を行うことができます。

●データソースの数と品質
●方法論の可用性と透明性
●カスタマイズ化の可能性
●評価頻度
●ベンチマーキング
●実施可能な改善案と知見

リスク評価は、個別に実施しても十分な効果を発揮しない場合があります。セキュリティ部門が、組織全体からより多くのデータソースを収集し、統合することができれば、サイバーリスク評価の精度も向上するでしょう。

エンドポイント、サーバ、業務アプリケーション、メールシステム、ネットワーク、個人情報などのデータを取り込み正規化し、クラウドサービスやアクセス管理、脆弱性管理、脅威情報のフィード、外部からの攻撃を検知するツールなどと組み合わせることで、組織全体のリスクをより正確に把握することができます。

リスク評価においては、具体的な対策を講じるための知見を導く必要があります。信頼性の高いリスク評価を行うためには、評価手法や基準を明確に説明することが極めて重要です。こうした情報が公開されることで、評価手法や基準に対する信頼性が向上すると同時に、セキュリティを向上させるための対策や、自社に合わせたリスクのしきい値の調整、リスクが高い資産に対する適切な対策についても明確に把握することができます。

リスク評価の定量化が組織にもたらすメリット

組織のセキュリティ部門は、アタックサーフェスの管理、脆弱性の管理、拡張検知・応答（XDR）などの最新のセキュリティツールから得られたデータを総合的に分析し、自社に対する攻撃の激しさやプレッシャー、デジタルアセットが危険にさらされている箇所、セキュリティ設定（例えばエンドポイント保護や挙動監視など）の改善点を把握します。これにより、企業はセキュリティ対策に万全の準備を整え、防御を確保できます。

リアルタイムかつ状況に即したリスクデータにより、状況認識を向上し、重要な資産に対するリスク対策の優先順位を決定することができるようになります。

リスクを考慮したセキュリティ戦略の策定により、インシデントの発生確率や潜在的な被害額を把握できるようになり、実際のビジネスインパクトを想定しておくことが可能になるでしょう。

また、サイバーリスク評価において定量化やベンチマークを行うことで、セキュリティ部門以外の社員にもサイバーセキュリティについて分かりやすく伝えることができるようになります。

Gartnerの調査では、サイバーリスクの定量化により、役職上位層における信頼性が向上し、他の企業リスクとサイバーリスクを整合することができると述べています。さらに、サイバーリスク評価を定量化することで、コスト削減やセキュリティプロジェクトの優先順位付けの改善、さらには企業の戦略的意思決定においても、価値を生み出すことが可能とも述べています。

成果や戦略をビジネス目標に結び付ける

サイバーセキュリティリーダーとしての役割が進化し続ける中、社内外のステークホルダーとの信頼関係を構築することが最も重要です。報告書やデータの可視化を活用し、セキュリティの成果や取るべき戦略をビジネス目標に結びつけるようにしましょう。

また、経営幹部や取締役会との定期的かつオープンなコミュニケーションを通じて、セキュリティ機能を推進し、戦略的なアドバイスを提供していくことが重要です。

さらに、取締役会だけでなく、ビジネス部門との関係性強化や教育を通じて、セキュリティ意識の文化を浸透させ、リスクを低減していくことも必要です。

今後の活用拡大が期待される

サイバーリスク評価の定量化は、今後ますます期待が大きくなっていくでしょう。リスク評価によって提供される分析結果は、セキュリティチームや経営層に大きなメリットをもたらすため、今後ますます需要が高まり、投資や革新が加速するでしょう。

具体的には、以下のような点が期待されます。

●相関関係の改善：個人情報を含むデータ入力をより精密に相関分析し、総合的なコンテキストに基づいて解釈することで、高度な知見を得ることができます。
●リスク評価の柔軟性の向上：組織固有のリスクしきい値や許容度を微調整し、既存のセキュリティ投資を最大限に活用することで、第三者テクノロジーを柔軟に導入し、リアルタイムにリスク変化に対応できます。
●脅威知見のレイヤー化：脅威情報を継続的に取得・活用し、攻撃の深刻度を正確に測定し、最新の脅威グループ情報を反映したリスク評価モデルを構築できます。
●AI/機械学習：予測分析に基づいた連続的なモデリングにより、異常なアクティビティを早期に発見し、脅威に対する迅速な対応を可能にします。
●コンプライアンスと規制：リスク評価モデルの透明性を高めることで、特定の産業において組織が継続的なリスク評価を行い、規制当局からの監査や要求にも柔軟かつ迅速に対応できるようになります。

Trend Micro Vision One™ではどのようにサイバーリスクを算出しているのか、当社レポート「More than a number, your risk score explained（英語）」をご覧ください。