Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバーセキュリティの意思決定を改善してビジネスリスクを軽減する方法

サイバーセキュリティプログラムの効果を高めるために、幹部、戦略、戦術レベルの意思決定に役立つ適切なコンテキストを提供するメトリクスを特定

刻々と変化する環境に加えて、現代の IT 環境のスピードとスケーラビリティを利用する攻撃者に直面して、セキュリティチームの課題は増え続けています。 このような変化の速さと複雑さは、情報セキュリティチームの進化の新たな展開を示しています。今日、セキュリティチームは、リスク管理の専門家の役割も果たさなければなりません。 企業のセキュリティを一人で担う場合でも、大勢のチームの一員であっても、リスクをより効果的に軽減するには複数のレベルから意思決定を行うことが必要でます。 

最新のホワイトペーパー「ビジネスリスク決定のための 3 レベルのセキュリティ戦略」では、セキュリティチームが行うべき 3 レベルの意思決定戦略について説明しています。

  • 幹部

  • 戦略 

  • 戦術 


各レベルの意思決定プロセスには多くのニュアンスが含まれ、複雑になることがあります。 ここでは、各レベルで必要となる意思決定の種類の例と、適切なメトリクスとツールを使用することで、3 つのレベルすべての意思決定を改善し、セキュリティプログラムの有効性を高める方法を紹介します。 

幹部レベルの意思決定

幹部レベルでは、セキュリティリーダーは、意思決定をサポートするために、2 つの異なる領域に取り組んでいます。それは、企業のセキュリティとリスクの体制に関する情報とメトリクスを、経営トップのセキュリティ担当者に伝達することと、自らの幹部レベルの意思決定によって自分のチームに方向性とサポートを提供することです。 

セキュリティ担当の幹部は、他の経営幹部をサポートして、企業全体に影響を与えるビジネス、収益、責任に関する意思決定を導くことのできる、広範囲な情報をセキュリティチームに要求します。このレベルでの意思決定を向上させるためには、セキュリティチームが提供するメトリクスは、リスクに基づいたもので、ビジネスドライバーの枠組みに沿って構成されていなければなりません。

例えば、ビジネスリーダーには、セキュリティ情報を企業の目標に沿った幅広いコンテキストで伝える必要があるので、エンドポイント保護ソフトウェアによってブロックされたマルウェアプログラムの数や、今月パッチが適用された脆弱性の総数を見ても、あまり価値はないでしょう。これらは、ビジネス上のコンテキストのない総量の数字を表しています。 その代わりに、脆弱性に重要なリスクが発見された場合、設定されたサービスレベル契約 (SLA) の時間枠内で排除された割合や、企業の主要なビジネス機能別 (主要な e コマースウェブサイトやニューヨークの主要データセンターなど) に見たリスク低減の傾向を考慮する必要があります。

セキュリティのパフォーマンスをより広い視点から見ることで、セキュリティリーダーは経営幹部にとって価値のある情報を提供することができ、経営幹部はその情報に基づいてセキュリティプログラムがどのように効果を発揮しているかを確認し、ビジネスにおけるリスクをさらに軽減、削減するために、より多くのリソースを投入しなければならない領域があるかどうかを判断することができます。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_1

これらのメトリクスは、セキュリティチームだけの視点から見ると、チームのすべてのメンバーと意思決定レベルで推進されているすべての取り組みの総合的に表した数値です。 CISO とその他の幹部レベルのセキュリティリーダーは、その数値から、セキュリティチームに与えたビジョンが他のチームメンバーによってうまく実現されているかどうか、また、戦略および戦術レベルの意思決定が目に見える形でリスクの低減に効果的であるかどうかを、測定可能な方法を使って判断することができます。 もちろん、これらのメトリクスが下降傾向を示している場合は、軌道修正を行い、障害の除去、より多くのリソースの獲得、スタッフの増員、外部からの追加サポートなどに向けて、より多くの経営サポートが必要な分野を特定することができます。 

戦略レベルの意思決定

セキュリティチーム内の階層を下がっていくと、戦略レベルの意思決定者 (一般的にはディレクター、チームリーダー、その他の中間管理職や上級技術専門家やアナリストなど) がおり、彼らは幹部レベルのチームがビジネス全体の方向性についてより良い意思決定を行えるようにサポートすると同時に、戦術レベルのチームがリスクを低減するための修正作業をより効率的かつ効果的に行えるようにサポートする必要があります。 

リスクの優先順位付けは、戦術レベルのチームを最も効果的にサポートするための鍵となります。実務レベルでは、企業がリソースを最も重要な分野に集中させ、修正が最大の効果をもたらしていることを裏付ける、日々の運用上の意思決定が不可欠です。 ビジネス要件を運用に反映させるには、ビジネス全体にとって最も重要なリスクをどこで軽減すべきかを理解するだけでなく、運用チームが作業の優先順位をより効率的かつ効果的に付けられるようにするためにも、資産の重要度が鍵となります。 

企業資産のビジネスに対する重要度を、資産の場所、インターネットへの露出度、デバイスの種類、サポートするビジネス機能など、様々な要因から理解することで、よりリスクに応じたアプローチを修正ワークフローに適用することができます。    

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_2

また、セキュリティプログラムの全体的な管理のためには、ポリシー、プロセス、手順が期待通りに機能しているかどうか、時間の経過とともに成熟度を高めるのに役立っているかどうかを理解することも重要です。 戦略レベルの意思決定が、他の 2 つのレベルの意思決定をサポートすることが重要です。 より優れた戦略的意思決定によってセキュリティプログラムを常に改良、改善することで、プログラムが効果的であること、そしてそれが継続的に改善されていることを示すことができ、これは幹部レベルの意思決定者にとってビジネス価値を示す重要なメトリクスとなります。 セキュリティプログラムの改善に向けた取り組みがビジネスにとっても価値があることを幹部に理解してもらうことは、チームの成功に不可欠であるだけでなく、予算や人員の追加要求の際にも役立ちます。ですから、ここで成熟度の観点から評価と修正プロセスの有効性を測定することは、戦略レベルの意思決定者がこれらのワークフローを改善するために必要なリソースを振り向けることに役立つばかりでなく、効率とプロセスの最適化を通じて継続的にリスクを低減し、ROI の向上という全体的なビジネス要件の促進にもつながります。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_3

戦術レベルの意思決定

実際の修正作業などのオペレーション業務にセキュリティチームが直接関与していなくても、セキュリティチームは、日々のパッチ適用や修正作業が効果的かつ効率的に行われることに重要な役割を担っています。

セキュリティチームは、発見事項を具体的な推奨ステップに変換して、運用チームの作業の効率化を支援します。運用チームは必要な作業は何かをすばやく理解して、必要な修正ステップが実行できる適切なワークフローを効率よく構築することがしやすくなります。ここでセキュリティプロセスと運用プロセスがよりシームレスに統合されると、プログラム全体の効率が向上し、企業にとってより良い価値を生み出し、より具体的なリスクを軽減することができます。

ビジネスリスクを軽減するために、サイバーセキュリティの意思決定を改善する方法_4

それぞれのレベルの意思決定にはそれぞれ独自の課題があります。 しかし、適切な洞察力と視点があれば、プログラムの効果を目に見える形で向上させ、実証することができます。

IT/OT環境の産業セキュリティについてもっと詳しく

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加