🔐
セキュリティ定量化のテクニックや方法について考えてみる (はじめの一歩)
主なターゲットとなる読者(読了時間:約3分〜5分)
- 各企業や組織でセキュリティ対策を進める上で、「セキュリティの定量化(数値化)」を行う参考情報を知りたい。
- 経営層(ボードメンバー/管理部門含む)や現場(事業部/サービス開発部門など)との橋渡しとなる共通言語やブロジェクトを進めるエッセンスを得たい。
- セキュリティ対策をどのくらい/どこまでやれば良いかの目安(ベースライン基準)となる情報を探している。
なぜ、セキュリティ定量化をする必要があるのか
- 各部署やチームで行なっているセキュリティ対策状況を可視化する共通の物差しが必要になっているため。
- セキュリティの投資対効果を網羅的(多角的)に定量化したいニーズが多いため。
セキュリティ定量化などをやってみた(具体的な流れ)
【1】セキュリティ定量化のツール/手法の検討及び選定する
- 定量化の基準や網羅性(例:NIST/ISMS等との対応関係を含む)などを考慮して探してみたところ、以下の2つが候補として浮上し、最終的に費用面で 「1. サイバーセキュリティ経営可視化ツール(IPA)」 を活用することにしました。
-
サイバーセキュリティ経営可視化ツール(IPA)
なお、以下の関係図はサイバーセキュリティ経営ガイドライン Ver 3.0の9ページより抜粋
- Secure SketCH セキュリティ評価サービス(NRIセキュア)
-
サイバーセキュリティ経営可視化ツール(IPA)
【2】サイバーセキュリティ経営可視化ツール(Excel版)をベースにして、各部署/チームへのヒアリングを実施する
- ダウンロードしたExcel版をGoogleスプレッドシートに変換して、各部署/チームごとにシートを分けてヒアリングを行いました。
サイバーセキュリティ経営可視化ツール(Excel版、Ver2.1)(Excel:471 KB) - 各部署/チームごとに現状スコアに”ばらつき”があるので、会社全体でのレーダーチャート可視化をする際には、いったん各部署/チームを合計してその平均値を適用しました。
なお、以下の画像は、可視化結果のレーダーチャート表示例(IPA)の抜粋です。
【3】セキュリティ対策をどのくらい/どこまでやれば良いかの目安を決めて、ロードマップなどを作成する
- まずは、少なくとも数ヶ月以内をメドに業種平均値のスコアとほぼ同等、もしくはそれ以上(概ねスコア3以上)になるように、セキュリティロードマップを作成しました(以下がその抜粋イメージです)。
- 中長期的(年単位)には、全ての10項目においてスコアが4以上になるように、ロードマップをアップデートして行きます。
- ロードマップやガントチャートを作るツールとしては、GoogleスプレッドシートやNotionを利用すると良さそうです。
https://www.jooto.com/contents/spreadsheet-gantt/
https://www.notion.so/ja-jp/templates/ripplings-multi-product-roadmap
今後の展望(まとめ)
- 今回の記事では、セキュリティ定量化の1つのアプローチとして、サイバーセキュリティ経営可視化ツールを活用したものを、まず書いてみました。
- 今後は、以下のJCICのレポートも参考にしながら、セキュリティKPIをより明確に設定するなどして、定期的なモニタリングや経営層(ボードメンバー)への報告等も行えるようにしていければと思っています。
https://www.j-cic.com/pdf/report/Security-Resources-Report.pdf
https://www.j-cic.com/pdf/report/KPI-Report-JA.pdf
Discussion