サイバーリスクの定量化 (CRQ)

サイバーリスクの定量化とは、特定のサイバーエクスポージャーによって組織が被る可能性がある金銭的損失を見積もることです。 

(一般に「高」や「中」のリスクといったラベルを使用する) 定性的な評価とは異なり、CRQ はデータを使用して損失が実際にいくらになるかを提示します。 つまり、CRQ の評価手法の特徴は、損失を「定量化」して示すことなのです。

CRQ を使えば、各部門は次のことが実行できるようになります。

• ビジネスおよび財務の責任者にアピールできる形で財務的な観点からリスクを伝え、サイバーセキュリティをより広範な組織目標と整合させる
• さまざまな資産クラスや部門のリスクを一貫して比較し、エクスポージャーリスクが最も高いのはどこか、また管理を適用すると最も効果的なのはどこかを把握する
• 深刻な財務リスクを最も効果的に軽減すると考えられる対策を基準に、修正と投資先に優先順位を付ける
• 構造化データを使用して、コンプライアンスの取り組みをサポートし、保険加入の検討や引受などの業務に対して正当性を証明できる情報を提供する

サイバーリスクを財務の観点に基づいて伝えることが、経営トップによる適切な判断に必要であるという認識がサイバーセキュリティ幹部の間で広まり、技術的なリスク指標をビジネスへの影響に結びつけて、企業戦略に反映させる傾向を促進しています。

この流れによって、各部門には、戦略をビジネス成果と整合させ、技術的指標を超えた価値を示すことが求められるようになっています。 

では、CRQ はどのように役立つのでしょうか? CRQ は、以下のようなことを可能にします。

• 一貫性があり、再現性があるサイバーリスクの測定方法を提供し、進捗状況をベンチマークして経時的な変化を追跡する
• サイバーセキュリティの意思決定を財務的な観点で捉えて、投資の優先順位付けをサポートするとともに、経営トップが共感を持てるような形でトレードオフを伝える
• 経営層の討議に、技術的な専門用語に縛られない客観的な分析による情報を提供し、優先事項に関するコンセンサスの形成につなげる

サイバーリスクの定量化ツールは、より広範な脆弱性管理の検出結果を財務的な対策として実行に移すために欠かせません。脆弱性管理について詳しくはこちらをご覧ください。

効果的な CRQ 戦略は、組織の成熟度レベル、利用可能なデータ、規制上の義務によって異なります。 一般的なものとしては、定性的アプローチと定量的アプローチがあります。

定性的なアプローチでは、一般に専門家の判断、ランク付けできるスコアリングシステム、ヒートマップなどを使用してリスクを評価します。 こういった手法は、詳細な財務データやインシデントデータがない場合は実装しやすく簡単ですが、 主観性によって精度と一貫性が妨げられる可能性があります。

定量的アプローチは、数学的モデル、確率論、財務分析を用いて、特定の脅威の発生確率と影響を推定します。 このモデルは、より厳密な出力を提供するので、特に投資の優先順位付けや保険加入の検討に関連する取締役会レベルでの意思決定に適しています。

定量的なアプローチは、さらに次のように分類できます。

• 情報リスクの要因分析 (FAIR) は、リスクを頻度と影響度に分解し、金銭的な見積もりを算出します。 防御可能で再現性のあるリスク評価を必要とする企業には、この手法を選択すると考えられます。
• 共通脆弱性評価システム (CVSS) は、既知の脆弱性の深刻度をスコアリングする標準化されたシステムです。 本来は技術的なものですが、CVSS スコアは文脈に合わせて使用されることでより広範なリスク計算を可能にします。
• ベイズモデリングは、不確実性をリスク予測に組み込むデータ駆動型のアプローチです。 この手法は、前提事項やデータが変化する可能性のある動的な環境に適しています。
• 保険会社が使用しているような保険数理モデルや統計モデルは、履歴データに基づいて損失を推定します。 長期的な計画には役立ちますが、変化の速い脅威や独自の脅威を捉えることはできない可能性があります。
• 機械学習モデルは、大量のデータから学習するアルゴリズムを使用して、傾向を特定し、結果を予測します。 このモデルはスピードアップとスケールアップを実現するものの、信頼性は入力されるデータの品質によって大きく左右されます。

モデルの種類ごとにそれぞれ強みと弱みがあります。 どのモデルを選ぶか (あるいは複数を組み合わせるか) は、組織の具体的な目的と利用可能なリソース次第で決まります。

リスクベースの脆弱性管理について詳しくは、 当社の RBVM の原則に関するこちらの記事をご覧ください。

一般的な CRQ モデルの長所と短所

FAIR (情報リスクの要因分析)

強み

• 財務面からリスクを定量化するための、構造化された再現可能なアプローチを提供
• 広く採用されており、取締役会レベルの情報共有に対応

弱み

• トレーニングや、大量のデータ収集と推定が必要
• 小規模なチームではリソースの負担が重くなる可能性がある

CVSS

強み

• 技術的な脆弱性をスコアリングするための標準化された方法を提供し、FAIR と同様に業界で広く使用がが認知されている

弱み

• より広範なビジネスリスクではなく、個別の脆弱性に焦点を当ててしまう
• 財務が受ける影響を考慮しない

ベイズモデリング

強み

• 不確実性や変化し続ける脅威シナリオのモデリングに最適
• 不完全または変動するデータセットを処理する場合に効果的

弱み

• 構築や解釈が複雑な場合がある
• 専門的な統計知識を必要とする場合が多い

統計/保険数理

強み

• 特に履歴データから、頻度と重大度のパターンに基づいて損失を推定する際に便利

弱み

• 質の高い履歴データへのアクセスに依存しているが、そのデータが常に新たな脅威や高度な脅威を反映しているとは限らない

機械学習 (ML) / 人工知能 (AI)

強み

• 膨大なデータを処理して隠れたパターンを特定し、将来のリスクを迅速に予測

弱み

• 信頼性を確保するには、大規模で高品質な入力データが必要
• ステークホルダーに結果を分かりやすく説明する上で課題が生じる場合がある

サイバーリスク定量化モデルを選択したら、次のステップでそのモデルを実践に移します。 このステップには通常、再現可能な CRQ プログラムの基盤を形成する体系的な作業が含まれます。

なお、CVSS を選択した場合、CVSS がより技術的なスコアリングシステムであるため、リスクを定量的に評価するより広範な枠組みに取り入れない限り、以下のステップをすべて踏襲しない可能性があります。 

同様に、機械学習と AI モデルの場合は、いくつかのステップで異なるアプローチが採用される場合があります。 具体的には、多くの場合、入力情報を明示的に表示するのではなく、パターンを推測して提示します。

ただし、以下のステップは概してほとんどの CRQ プログラムに適用可能です。

1.資産の特定と分類

まず、デジタルフットプリントのマッピングから開始します。 機密性の高いデータベース、顧客向けアプリケーション、クラウドインフラ、社内業務システムなどを考慮に入れます。 各資産に、潜在的なダウンタイムコスト、データ損失、業務中断に基づく金銭的価値を割り当てます。 たとえば、収益につながる顧客ポータルには、テスト環境よりも高いリスク値を設定することができます。

2. 脅威と脆弱性のリスク評価

攻撃者がどのようにシステムを攻撃するかを判断します。 脆弱性診断ツールとインシデント履歴を使用して、どの資産に最も重大なエクスポージャーが存在するかを把握します。 たとえば、重大な脆弱性や実際に悪用が確認されているエクスプロイトが存在するパッチ未適用のオペレーティングシステムは、重大度が低い検出結果が存在する内部サーバーよりもはるかに高いリスクをもたらします。

3. 潜在的な影響の分析

明らかなコスト (規制当局による罰金、回復費用) と測定が難しい影響 (評判の低下、顧客からの信頼失墜) の両方について検討します。 こうした影響を複数の攻撃シナリオでモデル化すると、サイバーインシデントが企業にもたらす実際の財務的損失を、取締役会に示すことができます。 

4. リスクの計算と集計

CRQ モデルにデータを入力し、脅威と資産のペアごとに損失エクスポージャーを見積もります。 結果を集計すると、部門や事業部全体の累積リスクを確認できます。 この集計は、財務的影響に基づいてサイバーセキュリティ投資の優先順位を付けるのに役立ちます。

不完全または一貫性のないデータ

効果的なサイバーリスクの定量化には、質の高いデータが必要です。資産インベントリが古いものであったり、インシデントレポートがあいまいだったりすると、正確な損失額つを見積もることができません。 結果としてリスクモデルが不正確になり、誤ったセキュリティ優先事項に集中してしまうおそれがあります。

脅威環境の変化

サイバー脅威は常に変化しており、 新たな攻撃手法や脆弱性が次々と出現しています。 CRQ モデルを定期的に更新しないと、すぐに時代遅れになり、判断ミスにつながりかねません。 常に最新の脅威インテリジェンスを取り入れ、実環境で実際に発生しているイベントに合わせてモデルを更新してください。

無形の影響は測定が困難

ブランドの信用失墜、株価への影響、長期的な評判低下など、サイバーインシデントがもたらす最も深刻な影響は、すぐに数値化することが困難です。 

財務的な代理変数を使用することもできますが、こうした推定値には本質的に不確実性が伴います。 とはいえ、それらを完全に省略すると、実際のリスクを過小評価することになりかねません。

CRQ を実施するには、モデルを実行し、結果をわかりやすく示す適切なツールも不可欠です。

Tenable は、次のような形で CRQ の基本的なサポートを提供しています。

• Tenable Vulnerability Management は、すべての資産を可視化し、最も危険にさらされている場所を特定します。 この機能を利用して、有意義なリスク計算の基盤を作成することができます。
• Tenable One は、脆弱性、資産、クラウド、アイデンティティのデータを集約した統合サイバーエクスポージャー管理プラットフォームです。 セキュリティ部門は Tenable One を活用して、財務的な観点からリスクを定量化して低減するために必要な文脈を把握できます。

また、Tenable One は既存の技術スタック (設定管理データベース (CMDB)、エンドポイント検出応答 (EDR) のプラットフォーム、システム情報・イベント管理 (SIEM) システム、クラウドネイティブシステム、セキュリティ自動オーケストレーションおよび対応 (SOAR) ツールなど) と統合して、モデルを継続的に更新します。

最も一般的な規制基準は、測定可能でデータに基づくリスク評価の必要性を重視しています。

サイバーリスクの定量化は、 組織がどのようにリスクを特定し、優先順位付けを行ったかを裏付ける証拠の収集に役立ちます。 これは規制対応の文脈、透明性確保、説明責任の観点から極めて重要です。 

規制と推奨には次のような例が挙げられます。

• NIST サイバーセキュリティフレームワークと 800-53 は、リスクベースの意思決定を促進し、継続的なセキュリティ管理評価を推奨
• ISO 27005 は、情報セキュリティリスク管理に対する体系的なアプローチと、定量化可能なインサイトの活用を推奨
• HIPAA、GDPR、PCI DSS は、機密データリスクの評価と文書化、また効果的な保護措置の証明を義務付けている
• CIS Controls は、コアとなるサイバーセキュリティハイジーンの一環として、正式なリスク評価の重要性を指摘

モデルを最新の状態に保つ

資産状況の変化や脅威インテリジェンスによる新たなリスクの発見に合わせて、モデルを更新することが不可欠です。 

適切なステークホルダーを関与させる

リスク管理、財務、コンプライアンス、IT などの分野のステークホルダーと連携して、CRQ のアプローチが事業の優先事項を反映していることを確認します。 

第三者による審査を検討する

CRQ モデルに対する外部評価を行うことで、盲点が明らかになり、前提事項が検証され、結果に対する経営幹部の信頼性が向上されます。 また独立した検証によって内部監査を強化すれば、規制機関からの問い合わせにも効果的に対応できます。

ビジネス目標と整合させる

CRQ の出力を、サービス稼働時間の確保、規制遵守、ブランドの評判といった特定のビジネス目標に結びつけます。

戦略の立案に CRQ を活用する

CRQ を技術的な意思決定のみに適用するのではなく、その結果を予算、保険、投資に関する長期計画の指針として活用します。

CRQ はサイバーセキュリティの要になる。 より多くの組織が、 CRQ を活用することで、潜在的な損失に基づいて予算を確保し、投資を推進するようになるでしょう。

自動化と生成 AI の拡大。最新の CRQ ツールは、自動化と AI をさらに取り入れることで、データを速やかに分析し、成果をシミュレーションできるようになります。こういった機能を活用すれば、手作業のプロセスを合理化し、各部門がより効果的な対策を講じられるようになります。

継続的なリスク定量化への移行。 CRQ は、一度設定すればそれでよいタスクではなく、より継続的に運用される仕組みへと進歩するでしょう。

サードパーティとサプライチェーンがもたらすリスクに対するさらなる注力。 CRQ を使用して外部のステークホルダーがもたらす財務リスクを評価する組織が増え、セキュリティ部門や調達部門がエクスポージャー軽減のために取り組むべき対策に優先順位を付けられるようになるでしょう。

CRQ とは?
サイバーリスクの定量化 (CRQ) は、サイバーセキュリティの脅威による金銭的な損失を見積もります。 構造化データとモデリングを使用して、潜在的なエクスポージャーをビジネスの観点から理解できるようにします。

CRQ が役に立つ理由は?
CRQ は、サイバーセキュリティのリスクをビジネス成果に結びつけます。これにより、対策の優先順位を付け、リソース配分を測定可能な効果で裏付けることができます。

CRQ は通常のリスク評価とどのように違うのですか?
CRQ は、「高」や「低」といった静的な脆弱性のスコアリングだけに頼るのではなく、財務的な観点からリスクを定量化できます。そのため、意思決定のためのより明確なインサイトが得られるのです。

CRQ ではどのようなデータが必要ですか?
CRQ には、資産インベントリ、既知の脆弱性、脅威インテリジェンス、インシデントの履歴、推定されるビジネスへの影響など、さまざまな情報が必要です。

サイバーリスクによる実際の損失額を本当に測定できますか?
できます。見積もりはさまざまですが、CRQ は潜在的な損失の方向性を示し、リスクベースの計画やコミュニケーションを支援します。

FAIR モデルとは?
FAIR (情報リスクの要因分析) は広く使われているフレームワークで、リスクをイベントの発生頻度と財務的影響という 2 つの核となる要素に分解します。 このフレームワークはサイバーリスク分析へのアプローチ方法を標準化するのに役立ちます。

CRQ の精度は?
CRQ の精度は、データの質と完全性、そしてモデルの更新頻度に左右されます。 透明性と反復が結果の精度を向上させます。

CRQ にはどのようなツールが役に立ちますか?
Tenable One のようなプラットフォームを使えば、エクスポージャーデータを集約し、リスクに優先順位を付けて、最新のビジネス動向に基づいたインサイトで CRQ を強化できます。

CRQ プロセスには誰が関与すべきでしょうか?
優先事項とエクスポージャーに関する共通認識を得るために、CRQ では、セキュリティ、IT、リスク、財務の各部門や経営陣などからの、部門横断的なデータを必要とします。

CRQ はどのくらいの頻度で実施するべきですか?
CRQ は定期的に (四半期ごとが一般的)、あるいは脅威状況や IT 環境に大きな変化があった後に実施する必要があります。

CRQ の導入を難しくしている要因は?
一部の組織では、データ可視性の制約、責任の所在の不明確さ、技術リスクをビジネスへの具体的な影響に置き換える難しさが課題となっています。

CRQ はコンプライアンス準拠に役立ちますか?
役立ちます。CRQ は、セキュリティ管理を財務上のリスクと整合させることでコンプライアンス対応を後押しし、監査への備えと報告の質を向上させます。

CRQ は保険加入に際してどのように役立ちますか?
CRQ を活用すれば、保険会社に潜在的なエクスポージャーをより明確に提示できるので、リスクプロファイルに沿ってより適切な条件や補償内容を交渉できます。

Tenable は、データ収集、リスクモデリング、ビジネスに沿ったレポート作成機能を通じて、CRQ を簡素化します。 Tenable One を利用すると、脆弱性、資産、クラウド環境、アイデンティティからエクスポージャーデータを集約し、サイバーリスクを包括的に捉えることができます。 Tenable One は脆弱性管理やエクスポージャー管理などのコアな機能を基盤として構築されているので、根拠が明確なサイバーリスクの定量化に必要な可視性を提供します。