Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

サイバーリスクのビジネスコストを知る:Ponemon による調査

調査結果により、組織はサイバーリスクのビジネスコストを正確に測定できておらず、サイバー攻撃が事業運営に及ぼす可能性のある損害を定量化できていないことが分かりました。これは、リソースの配分、技術投資、脅威の優先度付けに関する意思決定を行うために必要となる情報が得られていないことを意味します。

他の部門 (CRM、ERP、HR) とは異なり、サイバーセキュリティにおいては、経営幹部や取締役会が容易に理解できる形で意思決定をサポートする明確なビジネスメトリクスが欠落しています。サイバーリスクが事業運営に与える影響の調査を当社が Ponemon Research に委託した目的は、Cyber Exposure に関連する 4 つの共通 KPI がどのように特定のビジネスリスクとなりうるかを検証することでした。当社としては、単に財務上の影響を評価するだけはでなく、サイバーリスクが業務戦略、製品、サプライチェーン、収入源、運営、ビジネステクノロジー、カスタマーエクスペリエンスおよび規制コンプライアンスに与える影響を詳しく検証したいと考えていました。

6 か国で 2,410 名の IT および InfoSec 部門のリーダーを対象に調査したところ、ビジネスリスクの評価に利用されてきた従来の KPI やメトリクスは、サイバーリスクを理解する上では不十分であることが分かりました。組織はサイバーリスクのビジネスコストを正確に測定できておらず、サイバー攻撃が事業運営に及ぼす損害を定量化できていません。つまり、リソースの配分、技術への投資、脅威の優先度付けに関しては、重要な情報を欠いたまま意思決定が行われているのです。さらに、サイバーリスク KPI をデータブリーチやセキュリティエクスプロイトと関連付けることもできていません。

取締役会のサイバーセキュリティへの関心がこれまで以上に高まっているなか、レポート「事業運営におけるサイバーリスクの測定と管理」(Tenable が委託し Ponemon Institute が実施) により、サイバーセキュリティ―の専門家がメトリクスの正確性に疑念を抱いていることが明らかになりました。つまり、CISO やその他のセキュリティ技術の責任者は、セキュリティーリスクによるビジネスコストに関する重要な情報を取締役会に堂々と共有することができていないのです。

共通 KPI の模索

今回の調査では、サイバーリスクの測定に使用される 4 つの共通 KPI を特定しました。

  • 評価に割く時間、
  • 修復に割く時間、
  • サイバーリスクの優先度付けの有効性、および
  • 運用・制御技術 (OT) とモノのインターネット (IoT) デバイスを含む、サイバーリスクに対して脆弱な資産の特定。

さらに、サイバー攻撃の金融面における影響を測定するのに最も頻繁に使用される 3 つの KPI についても詳しく調べました。

  • 収益の損失、
  • 生産性の低下、および
  • 株価の下落。

多くの回答者 (91%) が業務の中断を伴うサイバーイベントを過去 24 カ月以内に少なくとも 1 回経験しており、60% が同様のイベントを同期間内に 2 回以上経験したことを認めています。これらの攻撃によりデータブリーチや事業運営、工場、事業用機器の中断や大幅なダウンタイムが引き起こされました。

回答者の半数以上 (58%) が、ビジネスリスクの評価に利用されてきた従来の KPI やメトリクスは、サイバーリスクを理解する上で役に立たないと答えています。サイバーイベントが事業運営に及ぼす損害の定量化について、回答者のうち 41% (988 名) が組織として何らかの対策を図っていると回答しました。そして、回答者のわずか 30% のみが、サイバーリスク KPI の情報をデータブリーチやセキュリティエクスプロイトのリスクを軽減するためのアクションに関連付けることができていると答えています。

セキュリティ問題が事業運営に及ぼす損害の定量化を図っていると答えた 988 名のうち:

  • 54% が知的財産の盗難による金銭的な影響を定量化していると答えました。
  • 43% が潜在的な金銭的損失を計算していると答えました。
  • 42% がデータブリーチやセキュリティエクスプロイトによる従業員の生産性の低下によって生じる影響を考慮しています。

サイバー攻撃の潜在的リスクの定量化に使用されているファクターとは?

サイバー攻撃によるビジネスリスクの定量化

出典:「事業運営におけるサイバーリスクの測定と管理」、2018 年 12 月、Ponemon Institute 及び Tenable

上記の KPI を活用して収集した情報の正確性を「1 = 正確でない」、「10 = 極めて正確」として回答者に評価してもらいました。回答者のうち 38% のみが測定は「極めて正確である」と回答し、44% が「そうではない」と回答しました。

またレポートにより、組織がサイバー脅威の評価と理解に最も重要だと考える KPI を活用していないことも明らかになりました。例えば、回答者の 3 分の 2 (64%) がサイバーリスクを評価する上で「評価に割く時間」が重要な KPI であると答えているものの、現にこのメトリクスを使用しているのはわずか 49% です。レポートに記載されている他の 3 つの KPI についても、同様のギャップが生じていることが分かります (以下参照)。

KPI の重要性と実状とのギャップ

KPI (% の回答者) が活用 (% の回答者) が必要不可欠だと考えている
サイバーリスクの評価に割く時間 49% 64%
サイバーリスクの修復に割く時間 46% 70%
OT および IoT 資産の特定 34% 62%
優先度付けの有効性 38% 57%

出典:「事業運営におけるサイバーリスクの測定と管理」、2018 年 12 月、Ponemon Institute 及び Tenable

サイバーリスクの測定:簡単だとは誰も言っていません

回答者は、組織がサイバーセキュリティ上の課題に直面し続けている 7 つの主な理由を特定しました。

  • IT セキュリティ部門の人員不足。
  • 脆弱性を管理するためのリソース不足。
  • 職場における IoT デバイスの増加。
  • IT セキュリティインフラストラクチャの複雑さ。
  • 第三者による機密情報へのアクセスの制御不足。
  • 脆弱性対処の手動プロセスに対する依存。
  • 組織のアタックサーフェイスに対する不十分な可視性。

これらの問題を簡単に素早く修復する方法はありませんが、次の 5 つの手順に従うことで、事業運営を第一に考えたサイバーセキュリティ戦略を構築できるよう導くことができると考えています。

  1. コンピューティング環境全体であらゆる資産を識別してマッピング
  2. 脆弱性、構成ミスその他のセキュリティ上の指標を含む、すべての資産における Cyber Exposure を把握
  3. 資産の重要度、脅威の内容、および脆弱性の重大度に基づいて修復の優先付けをするために、状況に合わせて Exposure を把握
  4. 最初に修正する Exposure の優先順位を決定し、適切な修復方法を適用
  5. より適切なビジネス的および技術的意思決定を行うための Cyber Exposure を測定およびベンチマーク

上記のガイダンスに加えて、レポート「事業運営におけるサイバーリスクの測定と管理」は、今すぐ組織内で実行できる、サイバーリスクを測定・管理するための 5 つの手順で締めくくっています。

この調査について

レポート「事業運営におけるサイバーリスクの測定と管理」は、米国、英国、ドイツ、オーストラリア、メキシコ、日本の IT および InfoSec 責任者 2,410 名に行った調査に基づいたものです。回答者全員が組織内のサイバーセキュリティソリューションの評価または投資管理に携わっています。同レポートでは、総合的な所見をご確認いただけます。 無料版は こちらからダウンロードできます。

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.io を試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。 今すぐサインアップする。

Tenable.io を購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産

$2,190.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は最も包括的な脆弱性スキャナです。Nessus Professionalは、脆弱性のスキャンプロセスを自動化およびコンプライアンスサイクル時間を短縮し、お客様がITチームに専念できるようにします。

Nessus Professional を購入する

Nessus®は最も包括的な脆弱性スキャナです。Nessus Professionalは、脆弱性のスキャンプロセスを自動化およびコンプライアンスサイクル時間を短縮し、お客様がITチームに専念できるようにします。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningをお試しください

60 日間無料

Tenable.ioプラットフォームの一部として、現代のアプリケーション用に設計された最新のWebアプリケーションスキャンサービスへのフルアクセスをお楽しみいただけます。手作業による手間や緊急なWebアプリケーションの中断をせずに、脆弱性のオンラインポートフォリオを安全に高精度で安全にスキャンします。 今すぐサインアップする。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品への完全なアクセスをお楽しみください。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視します。継続的インテグレーションと継続的デプロイメント(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスとの統合により、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについて

Tenable.sc のデモを入手

以下のフォームに連絡先をご記入ください。担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。 アスタリスク(*)の付いた欄は必須です。