サイバーセキュリティにおけるデータ関連のメトリクスは、データのリスク範囲とセキュリティ保護対策のパフォーマンスを測定するために、データの集中化率、暗号化率、バックアップ頻度、およびデータの回復速度などを評価する。ファイナンシャルアセットに関連するメトリクスでは、侵害からの金銭的損失、ランサムウェアによる損失や生産性の損失、漏洩した金融データの量が重視される。
人々に関連するメトリクスには、フィッシングメールのクリック率、不審なメールの報告率、ハッキングされたパスワードの数、特権アカウントの割合が含まれる。サプライヤーに関連するメトリクスでは、サードパーティのサイバーセキュリティ姿勢の自己認証、外部スコアリング、および継続的なモニタリングが行われる。
インフラストラクチャに関連するメトリクスは、サーバーやハードウェアの寿命、セキュアな設定の資産、ネットワークのセグメンテーションの深さを評価する。ユーザー制御デバイスに関連するメトリクスには、未識別デバイスの数、未パッチのソフトウェアを実行しているデバイスの数、誤検知の割合、エンドポイントソリューションによる脅威の検出と防止が含まれる。
新しいテクノロジー、特にIoTに関連するメトリクスは、アップグレードやパッチができないIoTデバイスの数、企業ネットワークとのセグメンテーションの深さを測定する。エンタープライズアプリケーションに関連するメトリクスでは、既知のオープンソフトウェアの脆弱性、未修正のソフトウェアパッチ、ゼロデイソフトウェアの脆弱性の数が評価される。
セキュリティポストのテストに関連するメトリクスには、ペネトレーションテストの結果、セキュリティテストの実施率が含まれる。インシデントの検出と対応に関連するメトリクスでは、実際のインシデント数と侵入試行数の割合、検出までの平均時間、制御までの平均時間、解決までの平均時間が重要な指標となる。
【ニュース解説】
企業のサイバーセキュリティ状況を理解し、改善するためには、様々な指標を追跡し、分析することが重要です。これらの指標は、企業のセキュリティ体制の効果を測定し、リスクを特定するのに役立ちます。最近、米国証券取引委員会は、企業のサイバーセキュリティ能力に関する透明性を高め、投資家への違反開示を迅速化することをCISO(最高情報セキュリティ責任者)と取締役会に要求しています。これにより、サイバーレポーティングとメトリクスは、今年、企業にとってさらに重要な優先事項となっています。
取締役会は、セキュリティとリスクの幹部に対して、重要なパフォーマンス指標(KPI)と重要なリスク指標(KRI)をどのように追跡し、これらのメトリクスを利用して取締役会に助言し報告するかについて、より厳格な対応を求めています。これらの指標には、資産の範囲、それらの資産を取り巻くサイバーセキュリティ活動、および測定されたセキュリティ成果を追跡するセキュリティ運用メトリクスが含まれます。
データ、財務資産、人々、サプライヤー、インフラストラクチャ、ユーザー制御デバイス、新技術(IoTなど)、エンタープライズアプリケーション、セキュリティポスチャのテスト、インシデントの検出と対応など、CISOが取締役会に報告すべき10のセキュリティメトリクスカテゴリがあります。これらのメトリクスは、組織のプログラムの有効性を判断し、保護のギャップを特定するためのデータに基づいたモデルを作成します。
例えば、データ関連のメトリクスでは、データの集中化率、データの暗号化率、バックアップの頻度、データ回復の速度などが評価されます。これにより、データのリスク範囲とキープロテクション対策のパフォーマンスが追跡されます。財務資産に関連するメトリクスでは、侵害からの金銭的損失、ランサムウェアによる損失や生産性の損失、漏洩した金融データの量が重視されます。
人々に関連するメトリクスには、フィッシングメールのクリック率、不審なメールの報告率、ハッキングされたパスワードの数、特権アカウントの割合が含まれます。これにより、セキュリティ意識向上トレーニングの効果を間接的に測定することができます。
サプライヤーに関連するメトリクスでは、サードパーティのサイバーセキュリティ姿勢の自己認証、外部スコアリング、および継続的なモニタリングが行われます。これにより、サードパーティリスク管理とデジタルサプライチェーンセキュリティが強化されます。
これらのメトリクスを追跡し、分析することで、企業はセキュリティ体制を強化し、リスクを軽減することができます。また、取締役会に対して、セキュリティの状況を明確に伝え、適切な投資と対策を促すことが可能になります。
from 10 Security Metrics Categories CISOs Should Present to the Board.
