(イメージ:写真AC)

何かを比べるときに、度量衡という言葉を使いませんか? 私は、そもそも、度・量・衡が、長さと体積と重さのことだということを、最近まで知りませんでした。さらに、単位の話も無知と言うしかなく、世界に共通な単位の系(国際単位系:SI)は、1875年にパリで交わされた「メートル条約」によって、時間(秒)、長さ(メートル)、質量(キログラム)、電流(アンペア)、熱力学温度(ケルビン)、物質量(モル)、光度(カンデラ)の7つとなったことも、実に150年ほども後になってから知ることになりました。なお、これらの7つの系の内容とその相互関係は、例えば国立研究開発法人産業技術総合研究所の計量標準総合センターの資料「はかる単位」で俯瞰できますが、見つめているとその繋がりの複雑さに不思議な感覚を覚えます。

さらに驚いたのは、メートル原器が長さの基準だと子供のころ教わったはずなのですが、1960年に既に使われなくなっており、日本のメートル原器も重要文化財となり、筑波の同センターに保存されているそうです(今では、メートルは、光や時間から割り出されるようです)。

さて、話はサイバーセキュリティに移ります。

この7つの系の中に、サイバーセキュリティに関連した単位が無いのは、ある意味自明なことではあります。さまざまな組織の事業におけるデジタルや通信の仕組みでの障害がサイバーリスクという事象であり、そのパターンやインパクトは組織によって異なるからです。しかし、困るではありませんか。自社にとっては、こんなに深刻な事態なのに、他社にとっては何でもない掠り傷にすぎない、ということでは、比較ができません。サイバーセキュリティはどんな計測の仕方をするのが国際標準なのでしょうか。単純に単位で測れないのは分かりますが、測り方(量り方、計り方)までバラバラでは、ステークホルダーとの対話にも支障を来しそうです。

こういう時に便利なのが国際的なNPOのISFです。Steve Durbinさん、ご説明お願いします。

(ここから引用)

サイバーセキュリティの測定:何を・何故・どのように 

Published: February 14, 2023
SOURCE:CSO ONLINE 
Steve Durbin, Chief Executive, Information Security Forum
 

サイバーリスク対策が成熟するためには、サイバーセキュリティの脅威とパフォーマンスを測定、分析、報告する能力が肝となります。とはいえ、サイバーセキュリティを測定するというのは簡単なことではありません。一方では、経営者は情報リスクを理解するのに骨を折り(彼らは一般に、サイバーリスクとは無縁の経歴を持つため)、他方では、セキュリティ責任者は技術的な細部にこだわり過ぎて、かえって関係者を混乱させたり、誤った情報を与えたり、誤解させたりしてしまうからです。

理想的にいえば、セキュリティ専門家は、経営幹部が理解でき、役に立つと感じ、好奇心も満たされ、行動に移せて成果も出せるような形でサイバーセキュリティを測定し、報告する必要があります。

サイバーセキュリティではいったい何を測定できるのか?

ステークホルダーの多くは、リスク、コンプライアンスあるいはアシュアランスにまつわる質問をしてくるのが常です。残念ながら、このような質問には、単一のデータ点では答えられないのが普通です。幸いにして、ステークホルダーの疑問や懸念に応えるために、セキュリティ実務者が測定できるものは多岐にわたります。その項目は、次のように大別することができます。

・コントロール: 脅威に対処し、情報リスクを軽減するために講じられる対策
・資産: 価値を持つもの、またはその組織によって所有されているすべてのモノ
・脆弱性: 脅威(アクター)によって悪用される可能性のあるシステムの弱点
・脅威イベント: 資産に損害を与える可能性のある、脅威(アクター)による何らかの行動
・セキュリティインシデント: 通信障害、システム中断、システム停止、データ漏洩、フィッシング詐欺、ランサムウェア攻撃など、事業に悪影響を及ぼす事象

上記の分類は、数値、時間、またはコストの観点からさらに細かく分類することが可能です。例えば、数値で言えば、パッチ未適用のサーバーの合計数や割合、必要なベースラインや処理能力との比較におけるパッチ未適用のサーバーの割合、またはパッチ適用可能なサーバーの数などを測定することができます。時間で言えば、インシデントを特定するのにかかった時間や、特定の脅威の出現頻度を時系列で測定することができます。コストについては、インシデントの影響を金銭的に引き直せるように測定したり、復旧にかかるコスト、あるいはシステムダウンによる事業損失を割り出すように測定したりすることができます。

なぜ測定基準ではなく、KPIに注目するのか?

セキュリティ実務者は、経営陣に報告する際に、最も適切な測定方法を選択する必要があります。セキュリティチームの多くは、資産、脆弱性、脅威イベントに関する機械語で測定された値である測定基準に焦点を当ててしまいがちです。一方、経営陣は、主要業績評価指標(KPI)や主要リスク評価指標(KRI)を重視します。それは、こうした指標によって、セキュリティのリスクや、健全性や、リスク対応態勢や、優先事項に関する、次のような具体的な質問に答えるのに役立つからです。

・貴社のセキュリティは大丈夫なのか?
・セキュリティへの投資によって、事業上の価値がもたらされているのか?
・セキュリティに関連する規制上のさまざまな義務は果たしているのか?
・ランサムウェア攻撃やサプライチェーン攻撃への備えは十分なのか?

このような質問には、KPIやKRIによって答えることができます。だからこそ、セキュリティのパフォーマンス、態勢、有効性を評価するために、セキュリティ実務者はKPIやKRIに焦点を当てなければならないのです。