サイバーリスクとその回避方法について

Today, there are increasing cyber risks for organizations of all sizes across all industries around the globe. While these risks can be quantified in terms of data loss, cyber risk has more far-reaching impacts such as threats to your operational resilience and potential financial losses and negative brand and customer impact.

Unfortunately, many organizations just don't have enough qualified staff, time, resources or experience to identify these risks for their organization or to make plans to prioritize and address them.

And, threat actors are working overtime hoping you haven’t mitigated all the risks within your organization. サイバー脅威を悪用して、致命的な結果をもたらす可能性がある弱点を活用する好機をうかがっているのです。

As teams work around the clock to get a handle on cyber risk, the reality is the list grows in length, types and complexity. It’s further complicated because many organizations are also balancing cyber risk analysis and cyber risk management while actively responding to multiple risks and disruptions at the same time.

According to Allianz Risk Barometer 2023, cyber risk is the leading cause of concern for business interruption, leading the list for the second consecutive year. That includes incidents such as IT outages, data breaches and ransomware attacks. And, for 19 counties, cyber risk is also considered the top peril.

As cyber risk continues to increase and change, the risks and related measures to proactively identify and mitigate them are no longer just quiet conversations among IT professionals. They’re getting a lot more attention at the board and C-suite level. In many cases, cyber risk management is also becoming an executive and key stakeholder responsibility, the report found. Some new legislation and other regulations are even making it a requirement for compliance. For example, the SEC’s new cyber incident disclosure guidelines specifically shift some of cyber risk management responsibility to the board level.

Cyber insurance companies are also giving cyber risk management best practices closer scrutiny. Traditionally, carriers only required companies to attest they had cybersecurity controls and frameworks in place to get coverage. Today, most carriers go well beyond that, including now requiring proof those controls are in place and function as intended. In some cases, that even includes undergoing third-party testing and exercises to maintain coverage.

The National Institute of Standards and Technology (NIST) defines cyber risk as the risk of "financial loss, operational disruption, or damage, from the failure of the digital technologies employed for informational and/or operational functions introduced to a manufacturing system via electronic means from the unauthorized access, use, disclosure, disruption, modification or destruction of the manufacturing system."

簡単に言うと、サイバーリスクは、攻撃者がサイバー脅威を悪用する可能性と、その攻撃による潜在的な影響を考慮に入れたものです。 It looks something like this:

Cyber risk is the risk of potential negative impact to your organization if your information systems fail or are disrupted, damaged or destroyed by unauthorized use or access. サイバーリスクとは、サイバーインシデントが企業を脅威にさらしたり、被害を加えたりする可能性のことです。

While some may think of cyber risks specifically in terms of technology and data loss, cyber risk may result in brand or reputational damage, loss of productivity and loss of revenue. また、サイバーリスクには複数の種類があります。 While cyber risk generally focuses on risks of doing business in an interconnected, online world, you may have other threats, for example, insider threats or corporate espionage.

That’s because cyber risks can be internal (for example, insider threats) or external (for example, cyber-attackers).

While cyber risk exploitation is generally intentional, for example a threat actor exploiting a known vulnerability, they may also be accidental, such as an accidental data exposure (for example, an email containing sensitive or protected information is unintentionally sent to an unintended or unauthorized user).

Cyber risk may also result from operational IT issues such as poor system integrity or lack of implementation of best practices for IT, risk management or cybersecurity.

While the terms cyber risk and cyber threats are often used interchangeably, they are not the same. First, a cyber threat is generally referred to as any incident in which an organization’s information systems could be impacted by unauthorized access, including the potential for data destruction, modification or unauthorized release. 攻撃者は多くの場合、悪意のある行為の一環としてサイバー脅威を悪用し、データの破損や盗用を行います。

Cyber risk is the potential impact of (or risk of) a cyber threat negatively affecting your organization. In terms of risk, it’s about looking at the potential for losses, not just those related to systems and data, but also financially and to your reputation and your ability to do business.

Cyber risk is relevant to all organizations because today, no organization is immune to a potential cyberattack or other disruptive cyber issue. かつて業界では、サイバー犯罪は大規模なデータの盗難や、大金の回収を実現できる可能性が高い大企業のみを狙うと考えられていました。 But today, any organization whose systems create, store, process or transmit data could be at risk.

And, with a growing number of companies turning to cloud services providers (CSPs) in a shared environment, attackers could be even more interested in exploiting your cyber threats and because they can move laterally in interconnected systems unnoticed for longer periods of time with the potential for greater negative impact to operations.

サイバーリスク管理は、成熟したサイバーセキュリティプログラムに欠かせない要素です。 サイバーリスク管理によって、すべての資産と保護された機密データをより効果的に保護することができます。 多くのコンプライアンスや規制の要件では、ある程度のサイバーリスク管理が必須になっています。

Cyber risks are also relevant to your organization because by identifying where you have these risks, you can mature your operational resilience practices and build proactive and reactive defenses to prevent attackers from stealing your data. これには顧客データだけでなく、企業の知的財産や財務データも含まれます。残念ながら、サイバー脅威の種類と複雑さが進化するにつれ、多くの企業にはその進化に追いつくことができなくなっています。 Already understaffed IT and security teams are stretched and many lack the tools and resources needed to effectively manage all the cyber risks identified, especially for organizations using traditional vulnerability scoring tools such as Common Vulnerability Scoring System (CVSS).

残念ながら、サイバー脅威の種類と複雑さが進化するにつれ、多くの企業にはその進化に追いつくことができなくなっています。 スタッフ不足の IT チームとセキュリティチームはすでに手一杯であり、特定されたすべてのサイバーリスクの効果的な管理に必要なツールやリソースも大幅に不足しています。特に、CVSS などの従来の脆弱性評価ツールを使用している企業ではそれが顕著です。

企業がテクノロジーと資産の導入拡大を進め、クラウド環境へと継続的に移行する中で、セキュリティインフラはさらに複雑化しています。 Teams often don't have control of what happens with third-party applications, introducing even more cybersecurity risk into environments.

はい。サイバーセキュリティとサイバーリスクは関連しています。Cybersecurity encompasses all of the technologies, processes and practices your organization employs to protect your systems and data. Your cybersecurity practices can help mitigate and remediate cyber risks by directly addressing cyber threats and identifying and fixing gaps within your security program. A cyberattack is an example of a cyber risk for your organization. サイバーセキュリティの手法は、そのリスクが現実化する可能性と潜在的な影響を低減するのに役立ちます。

はい。There are different types of cyber risk. 一部のサイバーリスクは内部的なもので、 その他は外部的なものです。内部サイバーリスクの例としては、デバイスの紛失や盗難、従業員のサイバー衛生の不備、従業員の教育やトレーニングの欠如、デバイスの不正使用、不正なデータアクセス、企業スパイ活動、風評被害やその他の損害を与えたいと考える不満を持つ従業員、データの盗用、システムやデータの削除または損傷などが挙げられます。

According to Cybersecurity Insiders' 2023 Insider Threat Report, 74% of organizations say insider attacks have become more frequent. More than half have experienced an insider threat in the last year and nearly 10% say they’ve experienced more than 20. VentureBeat had similar findings with respondents saying nearly 20% of breaches originated from the inside and many CISOs indicated they find it challenging to stop these types of breaches.

Verizon’s 2023 Data Breach Investigations Report found that the human element is involved in three out of four breaches with social engineering being one of the most common exploits.

インサイダーによるサイバーリスクは増加しているものの、今日のサイバーリスクの多くは外部のソースから生じています。 For example, ransomware attacks, phishing schemes, vulnerability exploitation and hacking. 外部サイバーリスクは、一般に、システムやネットワークへの不正アクセスを試みる部外者による外部からの脅威に関連しています。 外部サイバーリスクには、企業の機密データを盗んだり、侵害したりする試みが含まれます。

Tenable's Measuring & Managing the Cyber Risks to Business Operations report, which was independently conducted by the Ponemon Institute LLC, identified some key KPIs organizations can use to measure cyber risk:

• サイバーリスクの評価に割く時間

• サイバーリスクの修復に割く時間

• サイバーリスクに対して脆弱な OT 資産と IoT 資産の特定

• サイバーリスクの優先度付けの有効性

The report also identified additional KPIs to measure financial consequences of cyber risk, including:

• 収益の損失

• 生産性の低下

• 株価の低下

Traditional approaches to cybersecurity risk measurement are often inadequate. なぜなら、まず、これらの KPI はサイバーリスクの技術的な側面は考慮するものの、ビジネスや財務への影響などの他の要因を詳しく検証することはありません。 Also, some KPIs are generally not very strategic and many don’t focus on the need to prioritize risk for effective remediation and cyber risk reduction. In fact, some 30% of survey respondents said they can't correlate KPIs with their ability to mitigate cyber risks.

さらに悪いことに、調査回答者の 30% が、これらの KPI をサイバーリスク軽減のための能力とは関連付けられないと回答しています。

A number of organizations in this survey also indicated they're not measuring costs of cyber risk at all. 重要性Measuring the financial costs of cyber risks illustrates the importance and value of your cybersecurity and risk management programs to your executives and key stakeholders. These leaders will make important business decisions that will affect your program support. 人事、時間、財務、リソースの観点から考える必要があります。

多くの経営陣は、大々的に報じられたサイバー攻撃イベントのニュースを目にしたことがあっても、通常はサイバーリスクの範囲や影響について理解していません。 By quantifying the costs of cyber risks, you can more effectively speak a language your executives understand — one that takes into account business goals and objectives. Think of your cyber risk measurements as a way to build your use case in a way that directly relates to your operational resilience.

Exposure management takes a deeper dive into risk, analyzing not just which risks exist, but also potential impact, how to prioritize addressing those risks, and what to do to reduce cyber risk over time.

Exposure management is about how you can address cyber risk.

By understanding your cyber risk, your organization will be better prepared to answer some important, and often overlooked questions, in a quantifiable way. For example, how secure is your organization?

Exposure management helps you take a deeper dive into all of your assets, across all of your environments, understand where you have vulnerabilities and other security issues, and then prioritize when and how you'll address cyber risks based on real-world exploitation information and a range of other important areas that are specific to the way you do business and how your risk management processes directly relate to your business goals and objectives. By aligning your cybersecurity risk management program to your cybersecurity lifecycle, your organization will be able to answer these key questions with confidence:

• 企業内のどこが脅威にさられているか?

• サイバーリスクに基づいて何を優先させるべきか?

• 時間とともにリスクを低減できているか?

• サイバーリスク管理は競合他社と比較してどうか?

With exposure management your organization will be better prepared to identify all of your cyber risks across your entire attack surface, or in simple terms, see everything. この対象は、従来の IT 資産に限られていません。 It's also about discovering your cyber risks all the way from DevOps to deployment and beyond, including in your cloud environments, within operational technology environments, and even in your web apps.

しかし、これはサイバーリスクの発見だけにとどまりません。 Exposure management also helps you predict which cyber risks actually pose a potential security issue for your organization, now and in the near future. For example, using machine-learning, Tenable's products have integrated predictive capabilities to help you prioritize your risk remediation strategy.

そのため、お客様は優先順位の高い問題をどのように解決すべきか、推測する必要はありません。 By using an exposure management platform like Tenable, you can even get best practice recommendations on how to address cyber risks to reduce the likelihood a business-impacting cyber event may happen.

サイバーリスク管理は、サイバーセキュリティに欠かすことができない要素です。 サイバーリスク管理プログラムを作成することで、どのようなリスクが存在するかだけでなく、その潜在的な影響とそのリスクを軽減する方法についても、より的確に理解することができます。

Cybersecurity risk management can help your teams develop practices to identify cyber risks, prioritize cybersecurity response measures based on their potential negative impact on your organization, and then develop a risk management plan to address those risks as they relate to your organization.

In a perfect world, cybersecurity teams would love to have the ability to prevent every potential cyberattack. That's just not possible. Your cybersecurity risk management program can help you, however, develop plans that are proactive, adaptable and flexible, so you'll always be ready to address cyber risk, regardless of type or complexity. You can align your cyber risk management program to the cybersecurity lifecycle, where you can better identify cyber risks, protect your attack surface, respond to cyber incidents and quickly recover.

成熟したサイバーリスク管理プログラムにおいては、このライフサイクルに対して 1 回限りのアプローチをとることはありません。 Instead, it's an ongoing process where you're continually identifying gaps and weaknesses, improving them and then retesting to ensure you're maturing your cybersecurity risk management approach as your company and the threat landscape evolves.

Cyber risk management is important because it can help your organization more effectively identify cyber risks, prioritize those risks and remediate or mitigate risks with a goal of decreasing the frequency and likelihood of a cyber event that negatively impacts operations.

サイバーリスクへの対処を計画することで、サイバーインシデントから企業を保護するために必要な事前対応型と事後対応型のサイバーセキュリティ対策を確実に実施し、潜在的な攻撃のリスクを効果的に軽減できます。

Gaps often exist between IT and security teams and their executives and key stakeholders. サイバーリスク管理プログラムは、そのギャップを埋めるために必要な要素です。 経営陣が理解できるよう形で、プログラムのニーズと価値を定量化できるからです。 例えば、サイバーセキュリティのリスク低減戦略によって、どの程度企業のコストを削減し、運用上のレジリエンスを確保できるかを定量化できます。

And, because cyber risk management is just good business practice, it can strengthen your business reputation with your customers, the general public and possibly have positive impacts on your market. By demonstrating your organization takes cyber risk management seriously — and that you've employed industry-recognized best practices — you can build confidence in your brand and reputation, creating a win for attracting new clients and retaining existing customers.

サイバーリスク管理プログラムを導入するそれ以外のメリットとしては、コンプライアンス、規制、その他の要件への対応能力に対する信頼性の向上、サイバーイベント発生時のダウンタイムの短縮 (理想的にはダウンタイムの発生ゼロ)、サイバーインシデントの結果として生じるデータ損失を完全に、またはほぼ完全になくせること、サイバーリスクが運用上のレジリエンスに与える影響とそれを回避する方法についての理解を深められることなどがあります。

In many organizations, the chief information officer is responsible for cyber risk management, including evaluating cyber risk as it relates to business risk. ただし、企業によっては、情報セキュリティ最高責任者、最高技術責任者、または最高リスク責任者や最高セキュリティ責任者がその役割を担うこともあります。

サイバーリスク管理計画を策定する際の手順で基盤となるのは、リスク評価の実施です。 たとえば医療分野など、業界や規制ガイドラインによっては、リスク分析とも呼ばれます。

Before you can fully identify and understand your risks, it may be helpful to better understand common cyber risks. Some teams have skilled professionals who make this a priority; however, most organizations just don't have the time or resources to keep up with the changing threat landscape. 貴社でも思い当たる節がある場合、例えば Tenable Research の熟練したチームなど、その種の調査を代行してくれる企業と提携することが助けになる可能性があります。

現在の脅威の状況を理解できたものの、まだ行っていない場合は調査を行うと有益な情報が得られます。それにより、攻撃者が仕掛けてくる手口、その動機、攻撃を受けた同じ業界の企業がどのように対応し、どのように攻撃から回復したかをより深く理解することができます。

現在の脅威環境と攻撃者の動機や手口に関する情報があれば、リスク分析またはリスク評価を開始する準備をより万端に整えることができます。 そのうえで、リスク分析では、重要な資産とビジネス機能をすべて考慮に入れる必要があります。また、通常どおりに業務を遂行できるよう資産やサービスを維持管理する能力に対して、サイバー脅威が与える潜在的な影響も考慮に入れる必要があります。

NIST では、正式なリスク評価を実施する際に役立つガイドラインを提供しています。以下で詳しく説明します。 ただし、今すぐ詳細を把握されたい場合には、 NIST の情報セキュリティガイドで、詳しい情報をご確認ください。

リスク評価を実施することで、さまざまなメリットがあります。 Not only will it become a driving factor for how you mature your cyber hygiene practices, it will also help build that bridge between your IT and security objectives and your organization's business goals and objectives. これは、サイバーリスク管理プログラムに対して経営幹部のサポートと了承を得る上で重要な要素であると覚えておいてください。

A cyber risk management program, especially for organizations that face compliance and regulatory mandates, can help you better understand how your cyber risks directly correlate to key security objectives, for example, ensuring the confidentiality, integrity and availability of your data.

はい。サイバーリスク分析とサイバーリスク管理に役立つフレームワークがいくつかあります。 以下は一部の例です。

• NIST リスク管理フレームワーク

• NIST サイバーセキュリティプレームワーク

• ISO 27001

While there are a range of considerations to take into account when selecting which cyber risk management framework may be most appropriate for your organization, most of these frameworks share common themes.

例えば、NIST リスク管理フレームワーク (RMF) には、NIST の基準とガイドラインに基づいてリスクを管理するための 7 段階のプロセスがあります。

RMF の主要な分野のいくつかと、それらをサイバーリスク管理プログラムに適用する方法についての概要を以下に示します。

1. 企業によるリスク管理の準備として必要不可欠な活動を展開する

2. システムと、影響分析を使用して処理、保存、送信された情報を分類する

3. リスク評価に基づき、保護のための NIST SP 800-53 の管理策を選択する

4. 管理策を導入し、その導入方法を文書化する

5. 評価を実施して、効果的な管理策が実施されていること、設計どおりに動作し、意図した結果が得られていることを確認する

6. システム運用を承認するためのリスクベースの意思決定は、シニアリーダーが行う

7. 管理策の導入状況とシステムのリスクを継続的に監視する

また、NIST Cybersecurity Framework (CSF) も役立つリソースです。CSF には、サイバーリスクを管理および軽減するために自主的に準拠する一連の基準が定められています。

NIST CSF は、サイバーリスクを特定し、企業のビジネス目標に関連するリスクに対処するための計画を立てる際に役立ちます。

サイバーリスク管理などのプロセスの開発、実装、管理のために、ISO 27001 標準を利用することも考えられます。

And finally, one more cyber risk management framework that may be helpful is SOC2, also known as System and Organization Controls 2, which can help your organization manage cyber risk.

企業に最適なサイバーリスク管理フレームワークを判別する際には、考慮すべき要素がいくつかあります。

Consider the size of your organization, the volume and types of assets, the types and complexity of your technology architecture (for example, traditional IT, OT, web apps, the cloud, etc.), data your organization stores, transmits and processes, where you use or store that data, and of course, the current threat landscape.

自社に適したサイバーリスクフレームワークの選択でお困りですか? Tenable のセキュリティに対する次世代アプローチは、まさにお客様が求めているものです。 Tenable を使用したセキュリティフレームワークのサポートについてはこちらを参照してください。

企業におけるサイバーリスクのより適切な管理を促すベストプラクティスは、多数存在します。まだ導入していないのであれば、NIST リスク管理フレームワークなどのサイバーリスク管理フレームワークの採用をご検討ください。 A risk management framework can help you develop plans to identify cyber risks for your organization, mitigate those risks and prioritize which risk may have the most potential impact on your organization so you can develop a strategy to address them.

Here are some other best practices that may help you better see, predict and act on your cybersecurity risks:

1. すべての資産を特定し、インベントリを作成します。 これは定期的に更新するようにしてください。 所有している資産を把握していなければどこにサイバーセキュリティのリスクがあるかわからないので、この作業は大切です。

2. 重要な事業活動を特定し、その活動の損失または中断が通常通り業務を遂行する能力に及ぼす潜在的な影響を把握します。

3. Use a tool, for example Tenable Nessus to automate processes to continuously identify potential vulnerabilities or security issues.

4. Tenable Lumin などの機械学習ツールや予測に基づいた優先順位付けツールを使用して、現在および近い将来に企業に最も大きな潜在的影響を与えそうなのはどの脆弱性か、優先順位を付けます。

5. リスクベースの脆弱性管理アプローチを適用して、サイバーリスクを管理、軽減、修正します。

While there are a number of tools on the market that can help teams quickly and automatically identify vulnerabilities and other cybersecurity risks, it can be challenging to prioritize cybersecurity risks. Most IT and security teams struggle with addressing those vulnerabilities. That's particularly challenging for organizations that rely heavily, or exclusively, on the traditional CVSS to prioritize vulnerabilities for remediation.

優先順位付けに CVSS を使用する際に最もよくある問題は、CVSS では一般に脆弱性の技術的な深刻度しか考慮されていないことです。 It doesn't consider other important factors, such as if there is a known exploit in the wild or how likely it is an attacker may exploit the weakness now or in the near future.

幸いなことに、企業がサイバーリスクを効果的に優先順位付けできる、より効力があり効率的な代替策も存在します。 That's Tenable's Vulnerability Priority Rating (VPR). CVSS とは異なり VPR はスコアが分かりやすく、企業固有のニーズに直接適用できるため、特定された脆弱性のうち、どれに最初に注目すべきかを把握できます。

大量 (数万件と想定) の脆弱性が「緊急」または「重要」と評価される CVSS とは異なり、VPR ではそれが機械学習アルゴリズムによって数千件単位で削減されるため、本当に注目すべき脆弱性がプラットフォームで「重大」または「高」として評価されます。By prioritizing your cybersecurity risks, your organization will be better poised to build, test and deploy plans that effectively mitigate your risks, while reducing attack frequency and impact so you can quickly recover and get back to business as usual as soon as possible.

サイバーセキュリティのリスクに優先順位を付けることで、リスクを効果的に軽減する計画を策定、テスト、導入する態勢をうまく整えられるようになり、攻撃の頻度や影響も低減しながら、すぐに復旧して速やかに通常業務に戻ることができます。

現在の脅威環境は常に進化し、複雑さを増しています。その結果、企業のサイバーリスクを悪用する攻撃者の手法も同様に進化、複雑化しています。 This list is routinely changing, and while not exhaustive, here are a few examples of some of the biggest cyber risks organizations face today:

• マルウェア

• ランサムウェア

• フィッシング詐欺

• ソーシャルエンジニアリング

• 不十分なパスワード管理

• 非効率的な ID およびアクセス管理

• 内部関係者による脅威

• DDoS 攻撃

• SQL インジェクション

• サプライチェーンおよびサードパーティによるリスク

• 不十分なサイバー衛生

• クラウド脆弱性

• 設定ミス

• コード (インフラのコード化) の脆弱性や設定ミス

• Active Directory のセキュリティ脆弱性

• IT 停止

• サイバー侵害とレコードのエクスポージャー

NIST では、サイバーリスク評価を「情報システムの運用により生じる組織の業務 (ミッション、機能、イメージ、評判を含む)、組織の資産、個人、他の組織、国家に対するリスクを特定するプロセス」と定義しています。

リスク管理の一環であるサイバーリスク評価には、脅威と脆弱性の分析が組み込まれており、(現在実施されているか、または実施を計画中の) セキュリティ管理策によって提供される軽減が考慮されています。

NIST の目的上は、リスク評価とリスク分析は同義語です。

NIST SP 800-30 provides guidance for conducting effective risk assessments, particularly related to federal information systems and organizations; however, the best practices can be applied across a range of industries.

NIST 800-30 に基づいて、サイバーリスク評価には、以下の 4 つの主要なプロセスを含める必要があります。

1. リスクのフレームワーク構築

2. リスクの評価

3. リスクへの対応

4. リスクの監視

NIST がサイバーリスクのフレームワーク構築について語る場合、それはリスクに対する文脈を確立することに結びつきます。 例えば NIST は、リスクベースの意思決定を行う環境の種類を考慮して、フレームワークを構築しています。 フレームワークはリスク管理戦略の指針となるので、企業がリスクを評価、対応、監視する方法を確立するための態勢を整えることができます。

サイバーリスクの評価という観点では、このフレームワークは、以下のようにリスクを識別しています。

• 事業、資産、または個人に対する企業の脅威。自社を通じた他者に対する脅威も含まれる場合があります。

• 内部脆弱性と外部脆弱性。

• 潜在的な攻撃者が脆弱性を悪用する可能性に基づいた、これらのリスクの悪影響。

• 脅威の悪用が行われる可能性。

サイバーリスク評価を実施する上で次に重要なステップは、リスク評価の結果に基づいて、リスクへの対応方法を計画することです。 その場合、企業全体に適用できるリスク対応戦略を構築することが求められます。 この戦略は、実施する措置を示すだけではありません。チームメンバーはこの戦略によって、企業のリスク許容度またはリスクしきい値の範囲内で代替措置を適用するための情報と能力を得ることができます。

最後に、サイバーリスク評価には、経時的なリスク監視を促すための計画を組み込む必要があります。 経時的な監視を行うことで、リスク対応戦略が目的どおりに実施されているかどうかの分析や、環境内における調整が必要な変化の検出を常に怠らないようにすることができます。NIST のリスク評価に関するガイダンスの詳しい内容については、 こちらでガイドの完全版をご覧ください。

米国保健福祉省（HHS）および HIPAA のガイドラインによると、正式なリスク分析には以下が含まれます。

• An accurate and thorough assessment of potential cyber risks and vulnerabilities related to the confidentiality, integrity and availability of the protected data your organization creates, receives, maintains or transmits.

• 脅威と脆弱性の特定。

• Establishing effective controls to manage, mitigate and remediate cyber risks.

• サイバーリスクのリスク評価と被害の可能性の予測の作成。

• コンプライアンス文書とその他の管理レポートの作成。

業界によっては、サイバーリスク評価をコンプライアンスまたは規制基準 (あるいはその両方) の一部として要請しています。 また、独自のデータプライバシーやサイバーセキュリティの標準を積極的に作成している国が増えているのも興味深いことです。 すべてではないにしても、こういったものの大半にサイバーリスク評価の要件も含まれているのは当然のことです。

一方でリスク評価を行うと、単にコンプライアンス上の義務を果たすだけでなく、企業としてもメリットがあります。 Most importantly, it may be helpful to consider what could happen if you don’t conduct a cyber risk assessment or establish a cyber risk management program — your organization’s system and data may be at risk of a cyber event.

Not only could your organization lose productivity and negatively affect your customers, vendors, key stakeholders and potentially your market, you could face fines that reach into millions of dollars, depending on event type, severity and culpability. Some organizations that experience cyber events never fully recover.

サイバーリスク評価は、基本的なビジネス慣行として日常的に実施すべき事柄です。 サイバーリスク評価により、サイバーセキュリティ手法だけでなく、ビジネス継続性と運用のレジリエンスの戦略も強化できます。 効果的なサイバーリスク評価は、サイバーセキュリティプログラムの基盤となり、現在においても進化や変化を続ける中でも、企業のリスク管理活動を導く指針となります。

With Tenable, your organization can have the knowledge, tools and resources to see everything, predict what matters and act to address cyber risk across your entire attack surface. You can employ the fundamentals of risk-based vulnerability management to mature your cybersecurity risk management practices. サイバーセキュリティプログラムに対して一般的なリスク重視のアプローチを導入するには、この方法が最適です。 Beyond that, Tenable can help you demonstrate and report on metric-based language that everyone understands and gets excited about being a part of a culture that takes cyber risk management seriously, with great benefits for your organization — from your security and IT teams, all the way up to engaged executive leadership and key stakeholders.

Tenable can help your organization identify, prioritize and address cyber risks across your entire attack surface.

ウェビナー見る・予測する・行動する: Tenable の機能でサイバーリスクに対処

レポート: 会社のセキュリティは大丈夫なのか ?

事業運営におけるサイバーリスクの測定と管理

サイバーリスクのベンチマーキング：ビジネスが知っておくべきこと