🔐

セキュリティ定量化のテクニックや方法について考えてみる (はじめの一歩)

主なターゲットとなる読者(読了時間:約3分〜5分)

  • 各企業や組織でセキュリティ対策を進める上で、「セキュリティの定量化(数値化)」を行う参考情報を知りたい。
  • 経営層(ボードメンバー/管理部門含む)や現場(事業部/サービス開発部門など)との橋渡しとなる共通言語やブロジェクトを進めるエッセンスを得たい。
  • セキュリティ対策をどのくらい/どこまでやれば良いかの目安(ベースライン基準)となる情報を探している。

なぜ、セキュリティ定量化をする必要があるのか

  • 各部署やチームで行なっているセキュリティ対策状況を可視化する共通の物差しが必要になっているため。
  • セキュリティの投資対効果を網羅的(多角的)に定量化したいニーズが多いため。

セキュリティ定量化などをやってみた(具体的な流れ)

【1】セキュリティ定量化のツール/手法の検討及び選定する

【2】サイバーセキュリティ経営可視化ツール(Excel版)をベースにして、各部署/チームへのヒアリングを実施する

【3】セキュリティ対策をどのくらい/どこまでやれば良いかの目安を決めて、ロードマップなどを作成する

  • まずは、少なくとも数ヶ月以内をメドに業種平均値のスコアとほぼ同等、もしくはそれ以上(概ねスコア3以上)になるように、セキュリティロードマップを作成しました(以下がその抜粋イメージです)。
  • 中長期的(年単位)には、全ての10項目においてスコアが4以上になるように、ロードマップをアップデートして行きます。
  • ロードマップやガントチャートを作るツールとしては、GoogleスプレッドシートやNotionを利用すると良さそうです。
    https://www.jooto.com/contents/spreadsheet-gantt/
    https://www.notion.so/ja-jp/templates/ripplings-multi-product-roadmap

今後の展望(まとめ)

  • 今回の記事では、セキュリティ定量化の1つのアプローチとして、サイバーセキュリティ経営可視化ツールを活用したものを、まず書いてみました。
  • 今後は、以下のJCICのレポートも参考にしながら、セキュリティKPIをより明確に設定するなどして、定期的なモニタリングや経営層(ボードメンバー)への報告等も行えるようにしていければと思っています。
    https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf
    https://www.j-cic.com/pdf/report/KPI-Report-JA.pdf
レスキューナウテックブログ

Discussion