サイバーリスクよるビジネスコストを把握：Ponemonによる研究

この調査結果によれば、企業はサイバーリスクのビジネスコストを正確に測定しておらず、サイバー攻撃が事業運営に及ぼす可能性のある損害を定量化できていません。リソースの配分、技術投資、脅威の優先順位付けに関する意思決定を行うために必要となる情報が得られていないことを示しています。

他の部門 (CRM、ERP、HR) と異なり、サイバーセキュリティ部門には、経営幹部や取締役会が容易に理解できる形で意思決定に役立つ明確なビジネス指標がありません。サイバーリスクが事業運営に与える影響の調査を当社が Ponemon Research に委託した目的は、サイバー上に露呈されたリスクに関連する 4 つの共通 KPI がどのように特定のビジネスリスクとなりうるかを検証することでした。当社としては、単に財務上の影響を評価するだけはでなく、サイバーリスクが業務戦略、製品、サプライチェーン、収入源、運営、ビジネステクノロジー、カスタマーエクスペリエンスおよび規制コンプライアンスに与える影響を詳しく検証したいと考えていました。

6 か国で 2,410 名の IT および InfoSec 部門のリーダーを対象に調査したところ、ビジネスリスクの評価に利用されてきた従来の KPI やメトリクスは、サイバーリスクを理解する上では不十分であることが分かりました。組織はサイバーリスクのビジネスコストを正確に測定できておらず、サイバー攻撃が事業運営に及ぼす損害を定量化できていません。つまり、リソースの配分、技術への投資、脅威の優先順位付けに関しては、重要な情報を欠いたまま意思決定が行われているのです。しかも、サイバーリスク KPI をデータ漏洩やセキュリティのエクスプロイトと関連付けることもできていません。

取締役会のサイバーセキュリティへの関心がこれまで以上に高まっている状況で、レポート「事業運営におけるサイバーリスクの測定と管理」(Tenable が委託し Ponemon Institute が実施) により、サイバーセキュリティ―の専門家がメトリクスの正確性に疑念を抱いていることが明らかになりました。つまり、CISO やその他のセキュリティ技術の責任者は、セキュリティーリスクによるビジネスコストに関する重要な情報を取締役会に堂々と共有することができていないのです。

共通 KPI の模索

今回の調査では、サイバーリスクの測定に使用される 4 つの共通 KPI を特定しました。

• 評価に割く時間
• 修復に割く時間
• サイバーリスクの優先度付けの有効性
• 運用・制御技術 (OT) とモノのインターネット (IoT) デバイスを含む、サイバーリスクに対して脆弱な資産の特定

さらに、サイバー攻撃の金融面における影響を測定するのに最も頻繁に使用される 3 つの KPI についても詳しく調べました。

• 収益の損失
• 生産性の低下
• 株価の下落

多くの回答者 (91%) が業務の中断を伴うサイバーイベントを過去 24 カ月以内に少なくとも 1 回経験しており、60% が同様のイベントを同期間内に 2 回以上経験したことを認めています。これらの攻撃によりデータブリーチや事業運営、工場、事業用機器の中断や大幅なダウンタイムが引き起こされました。

回答者の半数以上 (58%) が、ビジネスリスクの評価に利用されてきた従来の KPI やメトリクスは、サイバーリスクを理解する上で役に立たないと答えています。サイバーイベントが事業運営に及ぼす損害の定量化については、回答者のうち 41% (988 名) が組織として何らかの対策を図っていると回答しました。そして、回答者のわずか 30% のみが、サイバーリスク KPI の情報をデータ漏洩やセキュリティエクスプロイトのリスクを軽減するためのアクションに関連付けることができていると答えています。

セキュリティ問題が事業運営に及ぼす損害の定量化を図っていると答えた 988 名のうち :

• 54% が知的財産の盗難による金銭的な影響を定量化していると回答
• 43% が潜在的な金銭的損失を計算していると回答
• 42% がデータブリーチやセキュリティエクスプロイトによる従業員の生産性の低下によって生じる影響を考慮していると回答

サイバー攻撃の潜在的リスクの定量化に使用されているファクターとは ?

出典：「事業運営におけるサイバーリスクの測定と管理」、2018 年 12 月、Ponemon Institute 及び Tenable

上記の KPI を活用して収集した情報の正確性を「1 = 正確でない」、「10 = 極めて正確」として回答者に評価してもらいました。回答者のうち 38% のみが情報は「極めて正確である」と回答し、44% が「あまり正確ではない」と回答しました。

またこの調査結果から、組織がサイバー脅威の評価と理解に最も重要だと考える KPI を活用していないことも明らかになりました。例えば、回答者の 3 分の 2 (64%) がサイバーリスクを評価する上で「評価に割く時間」が重要な KPI であると答えているものの、現にこのメトリクスを使用しているのはわずか 49% です。レポートに記載されている他の 3 つの KPI についても、同様のギャップが生じていることが分かります (以下参照)。

KPI の重要性と実状とのギャップ

出典：「事業運営におけるサイバーリスクの測定と管理」、2018 年 12 月、Ponemon Institute 及び Tenable

サイバーリスクの測定：簡単だとは誰も言っていません

回答者は、組織がサイバーセキュリティ上の課題に直面し続けている 7 つの主な理由を特定しました。

• IT セキュリティ部門の人員不足
• 脆弱性を管理するためのリソース不足
• 職場における IoT デバイスの増加
• IT セキュリティインフラストラクチャの複雑さ
• 第三者による機密情報へのアクセスの制御不足
• 脆弱性対処の手動プロセスに対する依存
• 組織のアタックサーフェイスに対する不十分な可視性

これらの問題を簡単に素早く解決する方法はありませんが、次の 5 つの手順に従うことで、事業運営を第一に考えたサイバーセキュリティ戦略を構築できるよう導くことができると考えます。

1. コンピューティング環境のすべての資産を識別し、サービス別にマッピングする
2. 脆弱性、不適切な構成、その他のセキュリティの健全性指標を含む、すべての資産のサーバー上の露呈を把握
3. 資産の重要度、脅威の内容、および脆弱性の重大度に基づいて修復の優先順位付けをするために、状況を鑑みて露呈を理解
4. 最初に修正する露呈の優先順位を決定し、適切な修正方法を適用
5. ビジネスと技術の両方の観点での意思決定をサポートするサイバー上の流動資産の測定とベンチマーキングを実行

上記のガイダンスに加えて、レポート「事業運営におけるサイバーリスクの測定と管理」は、今すぐ組織内で実行できる、サイバーリスクを測定・管理するための 5 つの手順を提示して結論としています。

この調査について

レポート「事業運営におけるサイバーリスクの測定と管理」は、米国、英国、ドイツ、オーストラリア、メキシコ、日本の IT および InfoSec 責任者 2,410 名に行った調査に基づいたものです。回答者全員が各組織内のサイバーセキュリティソリューションの評価や投資管理に携わっています。同レポートでは、総合的な所見をご確認いただけます。 無料版は こちらからダウンロードできます。