1. HOME
  2. article
  3. サイバーハイジーン基礎の基礎 第4回 サイバーハイジーンの評価指標となるサイバーセキュリティ「KPI」について考察

サイバーハイジーン基礎の基礎 第4回 サイバーハイジーンの評価指標となるサイバーセキュリティ「KPI」について考察

第3回では、マルチドメイン環境をスコープに、ガバナンスを実現するセキュリティの「共通の物差し」(KPI*1)の重要性を解説しました。近年、サイバーハイジーンの徹底した取り組みに関し、先進諸外国から一斉にガイダンスが出されるようになりました。昨年は米国土安全保障省(CISA)から「サイバーハイジーンサービス」が提出され、今年に入って日本の金融庁も「金融分野におけるサイバーセキュリティ強化に向けた取組指針ver.3.0」において、サイバーハイジーンの徹底をガイダンスしました。さて今回のテーマは、このようにサイバーハイジーンの重要性が国内外で活発化する中で、「サイバーハイジーン施策をどのように管理・監督(モニタリング)していくか?」というテーマについて解説したいと思います。

いかにサイバーハイジーンの施策を統率し、ガバナンスを実現するか?

あらためてサイバーハイジーンについて復習しましょう。これは、リスク発生自体を未然に予防する施策であり、COVID-19にたとえれば、手洗い、うがい、マスク装着を徹底し感染を徹底的に防止するのと同義です。サイバー領域においては、IT資産を連続的に特定し、非管理端末を排除し、利用しているOSやアプリケーション、組織が定めたセキュリティ設定やポリシーをチェックし、特定された脆弱性を連続的に排除し続け、不正アクセスによるマルウェア(ランサムウェア)の感染を未然に予防する施策となります。

さて、このようにサイバーハイジーンの重要性が国内外で活発化する中で問われているのが、サイバーハイジーン施策をどのように管理・監督(モニタリング)していくか? という点です。昨今の事案では、犯罪者がサプライチェーンの脆弱性を突いて、管理者権限を窃取・昇格し、グループのセキュリティの中枢となるAD(Active Directory)を乗っ取られることが問題になっています。

これらのリスクを未然に予防するサイバーハイジーン施策を、一体どのように本社(HQ)が統率し、ガバナンスを実現するかは極めて重要な課題となります。ガバナンスの実態をモニタリングする上で、多くの組織がグローバルセキュリティポリシーを定め、周知徹底しています。とはいえ、現場側(グループ会社を含むサプライチェーン)は、多忙な業務の中で、本社からの指示に対して実態を報告することは大変な作業であり、「感覚的な数値」を報告していることが実態でしょう。さらにサイバーハイジーンの報告は項目も増えており、その作業負荷は高まるばかりです。しかし本社(HQ)としては、ガバナンスの実現において、その管理・監督の責務があります。そこで、その中で検討や導入が進むのが「サーバーセキュリティKPI」というわけです。

本社が実施すべきサイバーセキュリティKPIとは何か?

では、このサイバーセキュリティKPIとは何でしょうか? ここからはサイバーハイジーンの領域から解説させて頂きます。

非管理端末率、パッチ適用率、利用ツールの稼働率といった運用業務項目に対して、従来までの「実施してください」というガイダンスに対して、「100%の適用を〇〇時間内に実施してください」という目標を定めるのがサイバーセキュリティKPIです。重要なポイントは、このKPIのモニタリングを、現場が手作業で実施するのではなく、本社(HQ)が実施することです。HQが実施するということは、管理・監督の責務を担う本社が責務を果たすという、原理・原則に則ることでもあります。

このサイバーセキュリティKPIのモニタリングにおいて、たとえばパッチ適用を例にとると、「100%展開を14日以内に適用する」というKPIがあった場合、14日以内にパッチ適用が100%にならなかった場合は、予め定めたKRI*2に乗っ取って、当該拠点は「リスク拠点」として経営側へ報告するといったプロセスを予め現場側と合意形成を取ることが重要となります。

これは管理・監督は本社、運用自体は現場というケースの場合、双方の責務や責任分界点を明確にしつつ、サイバーハイジーンの実現をより高度化し、結果的にはサイバー攻撃によるリスク発生自体を抑制するといった効果を発揮します。すでに先進的グローバル組織は、このようなサイバーセキュリティKPI(さらにはKRI)を定め、HQによるモニタリングをスタートさせています。

皆さんもサイバーハイジーン施策を実現する際には、KPIやKRIといった「グローバル共通の物差し」を定め、ガバナンスの実現に挑戦して頂ければと思います。

*1 KPI:重要業績評価指標(Key Performance Indicator)
*2 KRI:重要リスク評価指標(Key Risk Indicator)


<参考>第1~3回も合わせてお読みください
第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策
第2回 裸の王様とKPIについて
第3回 ガバナンス実現に求められる共通の物差し(KPI)

タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)

タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。

サイバーハイジーン基礎の基礎の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!