リスクを測るリスク
制御の有効性を自動的に測定することは、概念的には非常に良いアイデアです。制御のギャップと関連する脅威情報を組み合わせることで、ビジネスが直面する実際の技術的なサイバーリスクについて非常に良い全体像を得ることができます。正しく行われれば、組織内で何が起こっているのかをエンドツーエンドで把握することができます。
残念ながら、組織は自信を持って自分たちの制御が期待されるすべての場所で本当に展開されているとは言えません。ご存知のように、希望は戦略ではありません。多くの組織では、資産やサービス(およびAPI)のインベントリが完全でも実際でもありません。有用なインベントリには、組織が正確で完全な制御の有効性を持っていることを保証するために、さまざまなデータソース間での継続的な三角測量と調整が必要です。
リスク軽減への道:セキュリティ制御のカバレッジを測定する
これが、リスクを測定し、その結果に依存することが意味を持つのは、セキュリティ制御のカバレッジをしっかりと把握している場合に限ります。そうでなければ、誤ったリスク情報に基づいて意思決定を行うことになります。セキュリティ制御のカバレッジメトリックは、制御が環境全体にどれだけ広く展開されているかを確認することができます。この可視性は、全体的なサイバーリスク測定プログラムの成功に不可欠です。
全体的なセキュリティプログラムに真の自信を持つためには、制御の運用効果だけでなく、制御のカバレッジも測定する必要があります。セキュリティ専門家として、どこにギャップがあるのかを知りたいし、知る必要があります。知らないことが問題を引き起こすのです。
妥協は通常、制御がない場合や制御が失敗した場合に発生します。私たちは皆、非常に動的な世界に住んでおり、デジタルトランスフォーメーションが進行中で、現状を破壊し続けています。これらの変化は、制御をも破壊する可能性があります。いくつかは展開されないかもしれませんし、いくつかは削除されるかもしれませんし、いくつかは失敗するかもしれません。すべてのセキュリティ組織は、これらの欠陥をできるだけ早くキャプチャできる必要があります。
「セキュリティ専門家として、どこにギャップがあるのかを知りたいし、知る必要があります。知らないことが問題を引き起こすのです。」
制御のカバレッジを適切に見ることで、さらに多くの価値を提供できます。制御のカバレッジは、リスク定量化における重要なデータポイントです。FAIR(情報リスクの事実分析)やCyberVaR(サイバーリスクの価値)などの方法論は、組織がリスクを定量化することを可能にします。
特にCyberVaRは非常にデータ駆動型です。外部の脅威環境、内部イベント、脅威シナリオ、セキュリティ能力、セキュリティ制御のカバレッジ、全体的なセキュリティ姿勢など、セキュリティ、リスク、制御のさまざまな側面を見ています。これらすべてを組み合わせて、ビジネスにとって意味のある価値に定量化できる全体的な残留リスクのビューを提供します。
全体的なセキュリティ姿勢に高い信頼性を提供するためには、次のことを知っておく必要があります:
- 制御が効果的に機能していること、そして
- ポリシーで定義された100%のカバレッジを持っていること。
ギャップを特定し、修正するためには、制御のギャップがどこにあるのかを理解する必要があります。ギャップがどこにあるのかを知らない場合、妥協が最も起こりやすい場所です。
成功への鍵:自動化
ここでの成功への道は自動化です。プロセスが自動化されると、何度も正確な結果を得ることができます。データや結果の有効性を疑う必要はありません。
自動化はまた、運用コストを削減することができます。好きか嫌いかにかかわらず、すべてのセキュリティ機能は運用コストを削減し、生産性を最大化する方法を見つける必要があります。制御のカバレッジメトリックだけでなく、すべてのセキュリティ測定のプロセスを自動化することで、運用コストを削減し、より迅速にスケールすることができます。
業界のベンチマーク調査によると、セキュリティチームは報告に36%の時間を費やしていることが多いです。このプロセスを自動化することで、セキュリティ担当者は報告ではなく、セキュリティに集中することができます。
「制御のカバレッジメトリックだけでなく、すべてのセキュリティ測定のプロセスを自動化することで、運用コストを削減し、より迅速にスケールすることができます。」
自動化が選択肢でない場合、手動で質の高い制御カバレッジメトリックを作成する運命に苦しむことになります。各ツールに個別にアクセスし、すべてのデータをまとめ、クリーンアップ、集約、正規化、重複排除、相関を行う必要があります。そして、すべてが完了し、データを使用する準備が整ったときには、すでに古くなっている可能性があります。その結果、データの整合性に関する疑問が生じ、リスクを減らすための議論が進まなくなります。
制御を伝えることを忘れないでください
組織内には、セキュリティメトリックを見たいと考える多くのステークホルダーが存在し、取締役会レベルまで及びます。これは特に制御のカバレッジに適用されます。
主な対象は、セキュリティ機能、インフラストラクチャチーム、アプリケーション開発、またはフロントラインスタッフ内の制御所有者です。制御所有者が制御のカバレッジとその制御がどのように機能しているかを理解することは重要です。これにより、欠陥や露出を解決することができます。特にフロントラインチームにとって重要です。彼らはリスクを管理する責任があり、ギャップを解決するために行動を起こす必要があります。
他のステークホルダーの対象には、コンプライアンス、監査、規制機能の人々が含まれます。これらのステークホルダーは、情報に基づいた意思決定を行い、ポリシーへのコンプライアンスを測定し、その環境内のギャップやリスクを特定するために、制御データに依存する必要があります。完全で正確なデータがあれば、これらの人々はリスクに基づいた会話を促進し、必要に応じて行動を起こすことができます。
最後に、ここで共通のテーマが浮かび上がります:データへの信頼。私たち全員が同じデータセットを使用すると、そのデータがどこでどのように導出されたかを理解し、自動化されているため、そのデータの正確性に高い信頼を持っています。全員が同じデータセットを使用し、それを信頼すると、議論はリスクと適切なトレードオフや優先順位に焦点を当て、報告の正確性についてではなくなります。