『時間』と『可視化』で考える、経営層に必要なセキュリティKPI~Gartner IT SYMPOSIUM/Xpo™ 2023講演レポート~
2023年11月13~15日に開催されたGartner IT SYMPOSIUM/Xpo™ 2023。本稿では、講演を聴講された方より多数の好評をいただいたセキュリティエバンジェリスト石原陽平の講演内容をレポートとしてお送りします。
[時間] サイバー被害は時間の経過とともに増幅する
講演はまず、イギリスのオックスフォード大学が発行している「ジャーナル・オブ・サイバーセキュリティ」に掲載された2018年の研究※(過去に起きた実際のサイバー攻撃の複数の事例を基にした研究)を紹介しました。
その研究では、「サイバー被害は時間の経過とともに増幅する」という最大の発見がありました。それは「一つのサイバーイベントを起点として、さまざまな被害が連鎖的に生じる」という構造により、サイバー攻撃の被害は、時間の経過とともに複数種類の被害(サイバーハーム:cyber harm)が連鎖的に生じるということです。
※ A taxonomy of cyber-harms: Defining the impacts of cyber-attacks and understanding how they propagate (Journal of Cybersecurity, Volume 4, Issue 1, 2018)
サイバー被害最小化の取り組みは「時間」との闘い、ビジネスからサイバー被害を守るためにはこの「時間」に関する指標、すなわちMTTD(Mean Time To Detect:平均検出時間)/MTTR(Mean Time To Recovery:平均復旧時間)が重要になります。
分かりやすい例として、グローバルに展開する自動車メーカーのサイバーセキュリティ運用責任者の採用情報において「Key Performance Indicator」の欄に、Mean time to Detection, Mean Time to Remediation と明記されていることを挙げました。
ポイントは、サイバー被害は連鎖的に発生し、時間が経つほど被害が拡大することを念頭に、MTTD/MTTRをいかに縮めるかが、経営にも直結する重要指標であるということです。
[分布] セキュリティインシデント被害額の「平均値」は「中央値」の約160倍
次に石原が紹介した2023年に発表された研究※は、2008年から2020年に起きたセキュリティインシデント約13万件をソースとして、被害の深刻度や業界別の分布などを統計的に分析した研究です。その結果、セキュリティインシデント被害額の「平均値」は「中央値」の約160倍である、という事実が浮かび上がりました。具体的には、被害額の「平均値」は約22億円であるにもかかわらず、13万件の事故のほとんどは軽微なものであったというのです。
※【参考】The nature of losses from cyber-related events: risk categories and business sectors(Journal of Cybersecurity, 2023)
図3:サイバー攻撃の被害額の「平均値」と「中央値」の関係性
(参考:The nature of losses from cyber-related events: risk categories and business sectors(Journal of Cybersecurity, 2023))
図4:「多発するが比較的軽微なリスク」と「万が一の壊滅的なリスク」の分布
(参考:The nature of losses from cyber-related events: risk categories and business sectors(Journal of Cybersecurity, 2023))
石原は、「セキュリティインシデントのほとんどは、平均被害額22億円に至っていない。一方で、発生確率は低いものの、平均値を大きく上回る壊滅的な被害があることも事実」としつつ、企業は双方のリスクに異なるアプローチで備える必要がある、としました。
その二種類のサイバーリスクはどう言ったものか。多発するが比較的軽微なリスク『RISK-A』は、発生がある程度予想できる、シンプルでかつ原因がわかりやすいリスク。例えば毎日のように発生している単調な不正通信や、明らかに不自然な日本語で書かれた詐欺メールなどがその一例です。
万が一の壊滅的リスク『RISK-X』は、いつ起こるかが誰にも分らない、複雑で、原因がわかりにくいリスクです。高度な攻撃を執拗に繰り返す標的型攻撃や、内部不正などを指します。
こういった「『RISK-A』と『RISK-X』の2つのリスクに対し、それらを2つの戦略『プロテクト戦略』と『レスポンス戦略』を組み合わせ、リスクの性質にあわせて事業を守る両論として回していく必要がある」と強調しました。
しかし、その統合は一筋縄ではいきません。なぜなら、量的問題と質的問題を同時に解決できる方法が必要になるからです。内容がシンプルで、事前排除が可能であるが、とにかく大量に発生するRISK-A。そして滅多に起きず、非常に複雑で甚大な被害を及ぼすRISK-X。これらリスクを量的問題に溺れることなく、質的問題に対処できるかが鍵であると言えます。
その問題の本質は図7のように2つの「S」に集約されます。
「サステナビリティ(Sustainability)」の問題は、持続可能な運用を妨げる量的負荷のことを指し、「ステルス(Stealth)」は、検知がますます難しくなる脅威による質的負荷のことを指します。サイバーセキュリティ担当者はこれらの膨大な量のデータを日々扱っています。また、仕事上取り扱わなければならないツールの数は30以上あり非常に負荷がかかります。そもそものサイバーセキュリティの専門人材は少なく、人を増やしようにも増やせない事情もあり、その上人手で対処できる量も決まっています。その中で、サイバーセキュリティチームは毎日のように発見される脆弱性を潰しながら、心身を削って組織を守っているのです。
石原は、それを実現するには防御側に研ぎ澄まされた戦略と、高度な技術力が必要と訴えます。それには、「高度なサイバー攻撃」に対抗できる、高精度のレスポンス戦略に投資することであるとも付け加えました。
組織とっての最悪の事態は、再起不能になること。最悪の事態は、RISK-Xによって引き起こされます。RISK-Xへの唯一かつ最善のアプローチは、被害を最小化することです。また、事故が起こってしまった後の「時間」との勝負となります。
今後世界のデジタル資産はますます増えていき、それに伴ってサイバー犯罪も増えていくという前提の上、プロテクト戦略においては、ASRM(Attack Surface Risk Management)による「リスク定量化」が重要です。さらに、レスポンス戦略においては、XDR(eXtended Detection and Response)を用いた「MTTD/MTTRの短縮」が「重要指標」となっていくとし、さらにXDRは、MTTRの短縮のため「検知(Detection)」だけでなく「復旧(Recovery)」の考え方も取り入れることの必要性も強調されました。
その具現化に必要な技術として、サイバーリスクを機械的に検知・評価・排除をする、自動化と相関分析を挙げました。さらに、統合の鍵となる「共通技術」が、センサーによるサイバーイベントの「可視化」であり、これらを一元的に集約するツール、「統合サイバーセキュリティプラットフォーム」が必要です。
石原は、「可視化」を共通因子とした統合サイバーセキュリティプラットフォームの構築を戦略目標とすることで、組織のセキュリティレベルは格段に向上するとし、本講演を締めくくりました。
本講演の資料は、以下のリンクからダウンロードいただけます。ぜひ今後のサイバーセキュリティ戦略の立案にお役立てください。
Gartner IT SYMPOSIUM/Xpo™ 2023
GARTNER and IT SYMPOSIUM/XPO are trademarks of Gartner, Inc. and/or its affiliates and is used herein with permission. All rights reserved
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
