Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバーセキュリティの意思決定を改善してビジネスリスクを軽減する方法

サイバーセキュリティプログラムの効果を高めるために、幹部、戦略、戦術レベルの意思決定に役立つ適切なコンテキストを提供するメトリクスを特定

刻々と変化する環境に加えて、現代の IT 環境のスピードとスケーラビリティを利用する攻撃者に直面して、セキュリティチームの課題は増え続けています。 このような変化の速さと複雑さは、情報セキュリティチームの進化の新たな展開を示しています。今日、セキュリティチームは、リスク管理の専門家の役割も果たさなければなりません。 企業のセキュリティを一人で担う場合でも、大勢のチームの一員であっても、リスクをより効果的に軽減するには複数のレベルから意思決定を行うことが必要でます。 

最新のホワイトペーパー「ビジネスリスク決定のための 3 レベルのセキュリティ戦略」では、セキュリティチームが行うべき 3 レベルの意思決定戦略について説明しています。

  • 幹部

  • 戦略 

  • 戦術 


各レベルの意思決定プロセスには多くのニュアンスが含まれ、複雑になることがあります。 ここでは、各レベルで必要となる意思決定の種類の例と、適切なメトリクスとツールを使用することで、3 つのレベルすべての意思決定を改善し、セキュリティプログラムの有効性を高める方法を紹介します。 

幹部レベルの意思決定

幹部レベルでは、セキュリティリーダーは、意思決定をサポートするために、2 つの異なる領域に取り組んでいます。それは、企業のセキュリティとリスクの体制に関する情報とメトリクスを、経営トップのセキュリティ担当者に伝達することと、自らの幹部レベルの意思決定によって自分のチームに方向性とサポートを提供することです。 

セキュリティ担当の幹部は、他の経営幹部をサポートして、企業全体に影響を与えるビジネス、収益、責任に関する意思決定を導くことのできる、広範囲な情報をセキュリティチームに要求します。このレベルでの意思決定を向上させるためには、セキュリティチームが提供するメトリクスは、リスクに基づいたもので、ビジネスドライバーの枠組みに沿って構成されていなければなりません。

例えば、ビジネスリーダーには、セキュリティ情報を企業の目標に沿った幅広いコンテキストで伝える必要があるので、エンドポイント保護ソフトウェアによってブロックされたマルウェアプログラムの数や、今月パッチが適用された脆弱性の総数を見ても、あまり価値はないでしょう。これらは、ビジネス上のコンテキストのない総量の数字を表しています。 その代わりに、脆弱性に重要なリスクが発見された場合、設定されたサービスレベル契約 (SLA) の時間枠内で排除された割合や、企業の主要なビジネス機能別 (主要な e コマースウェブサイトやニューヨークの主要データセンターなど) に見たリスク低減の傾向を考慮する必要があります。

セキュリティのパフォーマンスをより広い視点から見ることで、セキュリティリーダーは経営幹部にとって価値のある情報を提供することができ、経営幹部はその情報に基づいてセキュリティプログラムがどのように効果を発揮しているかを確認し、ビジネスにおけるリスクをさらに軽減、削減するために、より多くのリソースを投入しなければならない領域があるかどうかを判断することができます。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_1

これらのメトリクスは、セキュリティチームだけの視点から見ると、チームのすべてのメンバーと意思決定レベルで推進されているすべての取り組みの総合的に表した数値です。 CISO とその他の幹部レベルのセキュリティリーダーは、その数値から、セキュリティチームに与えたビジョンが他のチームメンバーによってうまく実現されているかどうか、また、戦略および戦術レベルの意思決定が目に見える形でリスクの低減に効果的であるかどうかを、測定可能な方法を使って判断することができます。 もちろん、これらのメトリクスが下降傾向を示している場合は、軌道修正を行い、障害の除去、より多くのリソースの獲得、スタッフの増員、外部からの追加サポートなどに向けて、より多くの経営サポートが必要な分野を特定することができます。 

戦略レベルの意思決定

セキュリティチーム内の階層を下がっていくと、戦略レベルの意思決定者 (一般的にはディレクター、チームリーダー、その他の中間管理職や上級技術専門家やアナリストなど) がおり、彼らは幹部レベルのチームがビジネス全体の方向性についてより良い意思決定を行えるようにサポートすると同時に、戦術レベルのチームがリスクを低減するための修正作業をより効率的かつ効果的に行えるようにサポートする必要があります。 

リスクの優先順位付けは、戦術レベルのチームを最も効果的にサポートするための鍵となります。実務レベルでは、企業がリソースを最も重要な分野に集中させ、修正が最大の効果をもたらしていることを裏付ける、日々の運用上の意思決定が不可欠です。 ビジネス要件を運用に反映させるには、ビジネス全体にとって最も重要なリスクをどこで軽減すべきかを理解するだけでなく、運用チームが作業の優先順位をより効率的かつ効果的に付けられるようにするためにも、資産の重要度が鍵となります。 

企業資産のビジネスに対する重要度を、資産の場所、インターネットへの露出度、デバイスの種類、サポートするビジネス機能など、様々な要因から理解することで、よりリスクに応じたアプローチを修正ワークフローに適用することができます。    

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_2

また、セキュリティプログラムの全体的な管理のためには、ポリシー、プロセス、手順が期待通りに機能しているかどうか、時間の経過とともに成熟度を高めるのに役立っているかどうかを理解することも重要です。 戦略レベルの意思決定が、他の 2 つのレベルの意思決定をサポートすることが重要です。 より優れた戦略的意思決定によってセキュリティプログラムを常に改良、改善することで、プログラムが効果的であること、そしてそれが継続的に改善されていることを示すことができ、これは幹部レベルの意思決定者にとってビジネス価値を示す重要なメトリクスとなります。 セキュリティプログラムの改善に向けた取り組みがビジネスにとっても価値があることを幹部に理解してもらうことは、チームの成功に不可欠であるだけでなく、予算や人員の追加要求の際にも役立ちます。ですから、ここで成熟度の観点から評価と修正プロセスの有効性を測定することは、戦略レベルの意思決定者がこれらのワークフローを改善するために必要なリソースを振り向けることに役立つばかりでなく、効率とプロセスの最適化を通じて継続的にリスクを低減し、ROI の向上という全体的なビジネス要件の促進にもつながります。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_3

戦術レベルの意思決定

実際の修正作業などのオペレーション業務にセキュリティチームが直接関与していなくても、セキュリティチームは、日々のパッチ適用や修正作業が効果的かつ効率的に行われることに重要な役割を担っています。

セキュリティチームは、発見事項を具体的な推奨ステップに変換して、運用チームの作業の効率化を支援します。運用チームは必要な作業は何かをすばやく理解して、必要な修正ステップが実行できる適切なワークフローを効率よく構築することがしやすくなります。ここでセキュリティプロセスと運用プロセスがよりシームレスに統合されると、プログラム全体の効率が向上し、企業にとってより良い価値を生み出し、より具体的なリスクを軽減することができます。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_4

それぞれのレベルの意思決定にはそれぞれ独自の課題があります。 しかし、適切な洞察力と視点があれば、プログラムの効果を目に見える形で向上させ、実証することができます。

IT/OT環境の産業セキュリティについてもっと詳しく

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格は 9 月 30 日に終了します。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

7 つの追加サポート