セキュリティ投資の効果測定で検討すべき20の評価基準
発行日:2021年3月17日
昨今、情報セキュリティ対策に投資をしていない組織はいないはずです。ただ、セキュリティを投資した後の状況までしっかり把握されている組織はあまり多いとは言えない状況が続いています。
経営陣の視点で考えると、セキュリティ部門から上がってくる報告書が、組織の意思決定を促すことができる内容/レベルになっていると考えている割合は非常に少なく、この割合はここ数年変わっていないと言われています。また、セキュリティ投資に関してその評価基準が存在しない、あっても非常に成熟していないものだと考える組織が大半ではないでしょうか。
組織が考えるセキュリティ対策、それに伴うセキュリティ投資において、その価値を最大化するための大切なステップとして、投資した後、明確な評価基準を設け、その投資対効果をしっかり測定し続けることが挙げられます。
セキュリティ投資における評価指標の重要性
一般に、効果測定できないものは管理できないと言われています。従って、セキュリティ投資においても、その評価指標を定め、目標値を決めて運用を行わない限りは、その効果を測定することはすることはとても難しいです。この評価指標の策定/効果測定は、組織のセキュリティ態勢を維持するための重要な方法です。特に、以下の2つの理由から組織はセキュリティに対して評価指標を定める必要があると言えます。
- 組織のセキュリティ態勢を俯瞰的に見る:
セキュリティに対する評価指標を管理していない場合、セキュリティ投資がどの程度効果的であったか、また、長期にわたってどのように改善されたかを明確に理解することはできません。また、一定期間の中でセキュリティ態勢がどのように変遷したかを示す履歴データや客観的事実に基づいた情報がなければ、今後のセキュリティに関する様々な決定を下すことはできません。 - 上層部とのコミュニケーション:
セキュリティに対する評価指標がなければ、組織の上層部とのコミュニケーションの際に、セキュリティへの取り組み(多くの場合は、セキュリティ投資)に対する合意形成を促すことが難しいです。
組織によっては、セキュリティの評価指標の設定やその評価を外部の組織(第三者機関やセキュリティベンダー)に委ねている場合もありますが、その場合、評価の際に、外部の組織に社内ネットワークへのアクセスを許可する必要があるなど、組織をリスクにさらす可能性も出てくる場合があります。
20のセキュリティの評価指標
以下に、組織の上層部に対して提示し、判断を求めることができるとされる20の評価指標を例示します。
- パッチ適用レベル:
適切なセキュリティパッチが適用されておらず、最新の状態になっていないデバイス(端末)はいくつあるか - 社内ネットワーク上の識別されていないデバイス:
従業員が自分のデバイスを持ち込み、組織として把握ができていないデバイスが存在している可能性があります。これらのデバイスはおそらくセキュアではないため、これらは組織にとって大きなリスクとなります。これらのデバイスのうち、ネットワーク上にあるものはいくつか - 侵入試行:
悪意のあるアクターがネットワークに侵入しようとした回数は何回か - 平均故障間隔(Mean Time Between Failure):
システムまたは製品に故障が発生するまでにかかる平均時間はどの程度か - 平均検出時間(Mean Time To Detection):
潜在的なセキュリティインシデントを認識するまでにかかる平均時間はどの程度か - 平均把握時間(Mean Time To Acknowledge):
セキュリティ製品からのアラートの受信後、対応を開始するのにかかる平均時間はどの程度か - 平均収容時間(Mean Time To Contain):
認識された攻撃を封じ込めるのにかかる平均時間はどの程度か - 平均修復時間(Mean Time To Resolve):
脅威を認識した後、脅威に対応し、修復が完了するまでにかかる平均時間はどの程度か - 平均リカバリ時間(Mean Time To Recovery):
製品またはシステムの障害から平常に復旧するまでにかかる平均時間はどの程度か - パッチ適用日数:
セキュリティパッチが公開されてから、組織がそのパッチを実装するのにかかる日数はどの程度か - セキュリティ意識トレーニングの結果:
組織のどのくらいの割合の人数が定期的にセキュリティトレーニングを受講し、完了しているか - 報告されたセキュリティインシデントの数:
従業員が正しく認識したセキュリティイシューを組織に報告しているか
(これは、従業員がセキュリティイシューを正しく認識していることを意味し、また、トレーニングが機能していることも意味します。) - セキュリティ態勢のスコアリング:
セキュリティ態勢をスコアリングして、数値として把握できているか
(セキュリティに明るくない従業員にセキュリティについて伝える最も簡単な方法は、数値を使用することです。) - アクセス権限の管理:
管理者アクセス権を持つ従業員は何人いるか - セキュリティ・ポリシーの準拠:
コンプライアンスを文書化し、遵守できているか - セキュリティに対する意識向上トレーニング:
上層部を含む、組織のすべてのメンバーに対してセキュリティ意識の向上を促すトレーニングを継続的に行っているか - 非人的トラフィック:
ボットが発信元である可能性があるトラフィックの発生の有無を確認しているか - ウイルス感染の監視:
アンチウイルスソフトウェアが導入され、定期的な頻度でスキャンが実施されているか - フィッシング攻撃への対応:
誤って開かれたフィッシングメールはどのくらい存在するか - インシデント対応に要する費用:
確認された攻撃に対応するのにどれくらいの費用がかかっているか
どのセキュリティの評価指標を選択すべきか
組織が採用すべき評価基準は、その組織が置かれている状況、直面しているリスク、セキュリティに求められている必要性によって異なるため、上記すべての項目がすべての企業に当てはまるわけではありません。その局面、局面で企業が最適な選択をする必要があります。また、組織のセキュリティの成熟度によって、評価指標を加えたり、変えたりと、段階的に導入していくという選択肢もあります。
ただし、どのような組織でも留意していただきたい点は、セキュリティの効果を参照するすべての人が理解しやすい明確な評価基準を選択する必要があるということです。