サイバーインシデントの予兆を可視化することは可能か(写真:Adobe stock)

巨大地震の発生時期をリアルタイムで予知することは、現時点ではまだ現実的ではありません。研究が進むことを期待してやみませんが、実はサイバーセキュリティに関しては、必要な準備を整えればインシデントの予兆を可視化することが可能であることをご存知でしょうか。

1. KPI(重要パフォーマンス指標)とKRI(重要リスク指標)

BCPの実効性を図る指標として、筆者は本コラムで、内部監査にKPI(重要パフォーマンス指標)を設定したレベル評価を推奨しています。
<参考>
第41回:内部監査が難しくなってきた理由
第35回:経営視点で考える「NIST CSF2.0」の導入効果

この評価により、企業は現状でどこが足りていないかを知ることができ、経営者は目標までのギャップを埋めるために必要な努力や投資を知ることができます。しかしこのKPI評価は、明日攻撃されるかもしれない不安を解消してくれるものではありません。

もし予兆が知れるなら、攻撃を完全に防ぐことは難しくとも、早めの対応をとることで被害の拡大を防ぎ、インシデントの影響を最小に抑えることが可能になるかもしれません。ここでポイントとなるのは、KPIではなく、KRI(重要リスク指標)です。

KPIは、セキュリティ対策がどれだけ「機能しているか」「進捗しているか」を図る指標であり、プロセスの健全性の指標として組織の成熟度向上、改善活動に役立ちます。

KRIは危険度の上昇を示す指標(写真:Adobe stock)

一方、KRIは「リスクの兆候」「危険度の上昇」を示す指標です。未知のリスクを予兆として早期に把握する指標として、経営層がリスクレベルを理解し意思決定するために有効と言えます。

つまりKRIを活用することで、サイバーセキュリティ・リスクの切迫度を事前に把握できることを示唆していますが、実際に活用するためにはいくつかの準備が必要です。

ここでは例として、EDR設置運用済み、RTO48時間、RPO24時間を設定している企業を例に、KRIの設定と経営陣向けのサイバーセキュリティBCPダッシュボードの設計を解説します。
※EDR:エンドポイントのセキュリティ対策、RTO:いつまでに復旧させるかの目標値、RPO:どの時点まで復旧させるかの目標値

まず、このフレームワークを構築するために、NIST CSF 2.0 とBCPを関連付けた上でKRIの設計を行います。CSF 2.0 の6つの機能に対応した重要リスクにKRIをあてはめます。
※CSF:米国国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワーク

A)Govern(統治):リスク管理戦略、役割、ポリシー、事業との整合性

 

B)Identify(識別):事業影響度、資産管理、依存関係の把握

 

C)Protect(防御):不備によりインシデント発生確率を直接上昇させる

 

D)Detect(検知):インシデントの早期検知が不能な場合、BCP発動直前の重要な兆候

 

E)Respond(対応):対応の遅れにより被害拡大、事業継続性に致命的な影響

 

F)Recover(復旧):BCP にとって最重要領域、復旧不能の兆候が最もクリティカル