<h2 id="%E4%B8%BB%E3%81%AA%E3%82%BF%E3%83%BC%E3%82%B2%E3%83%83%E3%83%88%E3%81%A8%E3%81%AA%E3%82%8B%E8%AA%AD%E8%80%85%EF%BC%88%E8%AA%AD%E4%BA%86%E6%99%82%E9%96%93%EF%BC%9A%E7%B4%843%E5%88%86%E3%80%9C5%E5%88%86%EF%BC%89">
<a class="header-anchor-link" href="#%E4%B8%BB%E3%81%AA%E3%82%BF%E3%83%BC%E3%82%B2%E3%83%83%E3%83%88%E3%81%A8%E3%81%AA%E3%82%8B%E8%AA%AD%E8%80%85%EF%BC%88%E8%AA%AD%E4%BA%86%E6%99%82%E9%96%93%EF%BC%9A%E7%B4%843%E5%88%86%E3%80%9C5%E5%88%86%EF%BC%89" aria-hidden="true"></a> 主なターゲットとなる読者（読了時間：約3分〜5分）</h2>
<ul>
<li>各企業や組織でセキュリティ対策を進める上で、「セキュリティの定量化（数値化）」を行う参考情報を知りたい。</li>
<li>経営層（ボードメンバー/管理部門含む）や現場（事業部/サービス開発部門など）との橋渡しとなる共通言語やブロジェクトを進めるエッセンスを得たい。</li>
<li>セキュリティ対策をどのくらい/どこまでやれば良いかの目安（ベースライン基準）となる情報を探している。</li>
</ul>
<h2 id="%E3%81%AA%E3%81%9C%E3%80%81%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%82%92%E3%81%99%E3%82%8B%E5%BF%85%E8%A6%81%E3%81%8C%E3%81%82%E3%82%8B%E3%81%AE%E3%81%8B">
<a class="header-anchor-link" href="#%E3%81%AA%E3%81%9C%E3%80%81%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%82%92%E3%81%99%E3%82%8B%E5%BF%85%E8%A6%81%E3%81%8C%E3%81%82%E3%82%8B%E3%81%AE%E3%81%8B" aria-hidden="true"></a> なぜ、セキュリティ定量化をする必要があるのか</h2>
<ul>
<li>各部署やチームで行なっているセキュリティ対策状況を可視化する共通の物差しが必要になっているため。</li>
<li>セキュリティの投資対効果を網羅的（多角的）に定量化したいニーズが多いため。</li>
</ul>
<h2 id="%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%81%AA%E3%81%A9%E3%82%92%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F%EF%BC%88%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E6%B5%81%E3%82%8C%EF%BC%89">
<a class="header-anchor-link" href="#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%81%AA%E3%81%A9%E3%82%92%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F%EF%BC%88%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E6%B5%81%E3%82%8C%EF%BC%89" aria-hidden="true"></a> セキュリティ定量化などをやってみた（具体的な流れ）</h2>
<h3 id="%E3%80%90%EF%BC%91%E3%80%91%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%81%AE%E3%83%84%E3%83%BC%E3%83%AB%2F%E6%89%8B%E6%B3%95%E3%81%AE%E6%A4%9C%E8%A8%8E%E5%8F%8A%E3%81%B3%E9%81%B8%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%80%90%EF%BC%91%E3%80%91%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AE%9A%E9%87%8F%E5%8C%96%E3%81%AE%E3%83%84%E3%83%BC%E3%83%AB%2F%E6%89%8B%E6%B3%95%E3%81%AE%E6%A4%9C%E8%A8%8E%E5%8F%8A%E3%81%B3%E9%81%B8%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> 【１】セキュリティ定量化のツール/手法の検討及び選定する</h3>
<ul>
<li>定量化の基準や網羅性（例：NIST/ISMS等との対応関係を含む）などを考慮して探してみたところ、以下の2つが候補として浮上し、最終的に費用面で <strong>「1. サイバーセキュリティ経営可視化ツール(IPA)」</strong> を活用することにしました。
<ol>
<li>
<a href="https://www.ipa.go.jp/security/economics/checktool.html" target="_blank" rel="nofollow noopener noreferrer">サイバーセキュリティ経営可視化ツール(IPA)</a><br>
なお、以下の関係図は<a href="https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf" target="_blank" rel="nofollow noopener noreferrer">サイバーセキュリティ経営ガイドライン Ver 3.0</a>の9ページより抜粋<br>
<img src="https://storage.googleapis.com/zenn-user-upload/f3a74a95d880-20240508.png" loading="lazy" class="md-img">
</li>
<li><a href="https://www.nri-secure.co.jp/service/solution/secure-sketch" target="_blank" rel="nofollow noopener noreferrer">Secure SketCH セキュリティ評価サービス(NRIセキュア)</a></li>
</ol>
</li>
</ul>
<h3 id="%E3%80%90%EF%BC%92%E3%80%91%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E7%B5%8C%E5%96%B6%E5%8F%AF%E8%A6%96%E5%8C%96%E3%83%84%E3%83%BC%E3%83%AB%EF%BC%88excel%E7%89%88%EF%BC%89%E3%82%92%E3%83%99%E3%83%BC%E3%82%B9%E3%81%AB%E3%81%97%E3%81%A6%E3%80%81%E5%90%84%E9%83%A8%E7%BD%B2%2F%E3%83%81%E3%83%BC%E3%83%A0%E3%81%B8%E3%81%AE%E3%83%92%E3%82%A2%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%80%90%EF%BC%92%E3%80%91%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E7%B5%8C%E5%96%B6%E5%8F%AF%E8%A6%96%E5%8C%96%E3%83%84%E3%83%BC%E3%83%AB%EF%BC%88excel%E7%89%88%EF%BC%89%E3%82%92%E3%83%99%E3%83%BC%E3%82%B9%E3%81%AB%E3%81%97%E3%81%A6%E3%80%81%E5%90%84%E9%83%A8%E7%BD%B2%2F%E3%83%81%E3%83%BC%E3%83%A0%E3%81%B8%E3%81%AE%E3%83%92%E3%82%A2%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E5%AE%9F%E6%96%BD%E3%81%99%E3%82%8B" aria-hidden="true"></a> 【２】サイバーセキュリティ経営可視化ツール（Excel版）をベースにして、各部署/チームへのヒアリングを実施する</h3>
<ul>
<li>ダウンロードしたExcel版をGoogleスプレッドシートに変換して、各部署/チームごとにシートを分けてヒアリングを行いました。<br>
<a href="https://www.ipa.go.jp/security/economics/ug65p90000019bh2-att/checktool_v2.1_r4.0.xlsx" target="_blank" rel="nofollow noopener noreferrer">サイバーセキュリティ経営可視化ツール（Excel版、Ver2.1）(Excel:471 KB)</a>
</li>
<li>各部署/チームごとに現状スコアに”ばらつき”があるので、会社全体でのレーダーチャート可視化をする際には、いったん各部署/チームを合計してその平均値を適用しました。<br>
なお、以下の画像は、<a href="https://www.ipa.go.jp/security/economics/ug65p90000019bh2-img/ps6vr70000001pum.png" target="_blank" rel="nofollow noopener noreferrer">可視化結果のレーダーチャート表示例(IPA)</a>の抜粋です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/04c9281543b3-20240508.png" loading="lazy" class="md-img">
</li>
</ul>
<h3 id="%E3%80%90%EF%BC%93%E3%80%91%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E3%82%92%E3%81%A9%E3%81%AE%E3%81%8F%E3%82%89%E3%81%84%2F%E3%81%A9%E3%81%93%E3%81%BE%E3%81%A7%E3%82%84%E3%82%8C%E3%81%B0%E8%89%AF%E3%81%84%E3%81%8B%E3%81%AE%E7%9B%AE%E5%AE%89%E3%82%92%E6%B1%BA%E3%82%81%E3%81%A6%E3%80%81%E3%83%AD%E3%83%BC%E3%83%89%E3%83%9E%E3%83%83%E3%83%97%E3%81%AA%E3%81%A9%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%80%90%EF%BC%93%E3%80%91%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E3%82%92%E3%81%A9%E3%81%AE%E3%81%8F%E3%82%89%E3%81%84%2F%E3%81%A9%E3%81%93%E3%81%BE%E3%81%A7%E3%82%84%E3%82%8C%E3%81%B0%E8%89%AF%E3%81%84%E3%81%8B%E3%81%AE%E7%9B%AE%E5%AE%89%E3%82%92%E6%B1%BA%E3%82%81%E3%81%A6%E3%80%81%E3%83%AD%E3%83%BC%E3%83%89%E3%83%9E%E3%83%83%E3%83%97%E3%81%AA%E3%81%A9%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> 【３】セキュリティ対策をどのくらい/どこまでやれば良いかの目安を決めて、ロードマップなどを作成する</h3>
<ul>
<li>まずは、少なくとも数ヶ月以内をメドに<strong>業種平均値のスコアとほぼ同等、もしくはそれ以上(概ねスコア3以上)になる</strong>ように、セキュリティロードマップを作成しました（以下がその抜粋イメージです）。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/c678fb15c382-20240508.png" loading="lazy" class="md-img">
</li>
<li>中長期的（年単位）には、<strong>全ての10項目においてスコアが4以上になる</strong>ように、ロードマップをアップデートして行きます。</li>
<li>ロードマップやガントチャートを作るツールとしては、GoogleスプレッドシートやNotionを利用すると良さそうです。<br>
<a href="https://www.jooto.com/contents/spreadsheet-gantt/" target="_blank" rel="nofollow noopener noreferrer">https://www.jooto.com/contents/spreadsheet-gantt/</a><br>
<a href="https://www.notion.so/ja-jp/templates/ripplings-multi-product-roadmap" target="_blank" rel="nofollow noopener noreferrer">https://www.notion.so/ja-jp/templates/ripplings-multi-product-roadmap</a>
</li>
</ul>
<h2 id="%E4%BB%8A%E5%BE%8C%E3%81%AE%E5%B1%95%E6%9C%9B%EF%BC%88%E3%81%BE%E3%81%A8%E3%82%81%EF%BC%89">
<a class="header-anchor-link" href="#%E4%BB%8A%E5%BE%8C%E3%81%AE%E5%B1%95%E6%9C%9B%EF%BC%88%E3%81%BE%E3%81%A8%E3%82%81%EF%BC%89" aria-hidden="true"></a> 今後の展望（まとめ）</h2>
<ul>
<li>今回の記事では、セキュリティ定量化の1つのアプローチとして、サイバーセキュリティ経営可視化ツールを活用したものを、まず書いてみました。</li>
<li>今後は、以下のJCICのレポートも参考にしながら、セキュリティKPIをより明確に設定するなどして、定期的なモニタリングや経営層（ボードメンバー）への報告等も行えるようにしていければと思っています。<br>
<a href="https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf" target="_blank" rel="nofollow noopener noreferrer">https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf</a><br>
<a href="https://www.j-cic.com/pdf/report/KPI-Report-JA.pdf" target="_blank" rel="nofollow noopener noreferrer">https://www.j-cic.com/pdf/report/KPI-Report-JA.pdf</a>
</li>
</ul>


セキュリティ定量化のテクニックや方法について考えてみる　(はじめの一歩)

主なターゲットとなる読者（読了時間：約3分〜5分）

なぜ、セキュリティ定量化をする必要があるのか

【１】セキュリティ定量化のツール/手法の検討及び選定する

【２】サイバーセキュリティ経営可視化ツール（Excel版）をベースにして、各部署/チームへのヒアリングを実施する

【３】セキュリティ対策をどのくらい/どこまでやれば良いかの目安を決めて、ロードマップなどを作成する

セキュリティ定量化などをやってみた（具体的な流れ）

Discussion