search close

ソリューション
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中堅・中小企業向けセキュリティ
  - 中堅・中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
プラットフォーム
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - Trend Companion
    - Trend Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - インターネットの安全とサイバーセキュリティ教育
    - インターネットの安全とサイバーセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

サイバーリスクマネジメント(CRM)

サイバーリスクマネジメント(CRM)とは

サイバーリスクマネジメントは、アタックサーフェス（攻撃対象領域）全体を対象として脅威を事前に特定し、軽減することを目的とした、予防的なサイバーセキュリティ手法です。

詳しくはこちら

サイバーリスクマネジメント
サイバーリスクの概要
サイバーリスクの法的または規制上の影響
サイバーリスクマネジメントフレームワークの概要
サイバーリスクマネジメントの実施方法

サイバーリスクマネジメント

サイバーリスクマネジメントは、脅威の特定、優先順位付け、および軽減を通じて、組織のサイバーセキュリティに関する状況認識を向上するアプローチです。アタックサーフェスマネジメント（ASM）は、サイバーリスクマネジメントに不可欠な要素で、次の4つのステップに分けることがあります。

リスクの特定：組織のITインフラストラクチャを理解し、弱点を把握し、脅威を特定します。
リスクの診断：組織の脆弱性が悪用されるリスクを診断するとともに、悪用された場合の影響を予測します。
リスクの軽減：技術的、管理的、および物理的な対策を導入することにより、脅威の影響を軽減することができます。さらに、組織内でサイバーセキュリティの成功事例を周知し、セキュリティ運用やインシデント対応に関するガイドラインを策定することで、レジリエンスを高めることができます。
リスクの監視：新たな脅威を特定し、リスク軽減策の有効性を検証すべく、定期的な評価を通じてリスク状況を継続的に監視し、管理策やインシデント対応の見直しを行います。

サイバーリスクマネジメントは、アタックサーフェスマネジメントと同様に、検出、診断、軽減の3つのフェーズに対応しています。診断フェーズではリスクスコアリングが実施され、組織がリスク情報を長期にわたって比較・監視できるようにします。

サイバーリスクの概要

米国国立標準技術研究所（NIST）は、サイバーリスクを2つの異なる視点から定義していますが、それらは相互に関連しています。

「サイバーリソースに依存するリスク（サイバースペースに存在するシステムまたはシステム要素に依存するリスク、またはサイバースペースに断続的に存在するシステム要素に依存するリスク）」
「マルウェアや改ざん、破壊などのサイバー攻撃を受けることで、製造システムに導入されたデジタル技術に障害が発生し、財務的損失、業務の混乱、または損害が発生するリスク」

どちらの定義も、組織がプロアクティブなサイバーリスクマネジメントの体制を採用し、実施する必要性を裏付けるものです。

サイバーリスクマネジメントが重要な理由

アタックサーフェス（攻撃対象領域）の拡大により、組織はこれまで以上に多くのサイバーリスクに直面しています。脅威環境の規模と複雑さにより、多くのセキュリティ担当者は長年にわたって受動的な対応を余儀なくされてきました。その結果、脅威を先取りし、侵害を防ぐために必要な能力、可視性、洞察が不足しています。

サイバーリスクマネジメントは、組織のセキュリティ担当者がリスクを総合的に把握できるよう支援する、包括的なアプローチの一環です。優れたサイバーリスクマネジメントのフレームワークは、組織にとって最も関連性の高いリスクを特定し、「リスクを考慮した意思決定」を促進することで、全体的な脅威の影響を軽減します。

得られた洞察を活用することで、セキュリティチームは防御を強化し、脆弱性を最小限に抑え、さらに組織の全体的なリスク管理および戦略計画プロセスに有益な情報を提供することができます。

サイバーリスクの法的または規制上の影響

サイバーリスクの管理が不十分な組織は、罰金や法的措置、さらには刑事訴訟や懲役刑を含む訴訟に直面する事もあり得ます。多くの法規制には、データ侵害を迅速に報告する義務や、個人情報や機密データのプライバシーとセキュリティを確保する要件が含まれています。EUの一般データ保護規則（GDPR）および米国の医療保険の携行性と責任に関する法律（HIPAA）は、最も広く知られている規制です。

サイバーリスクの管理を誤り、侵害や損失を被った組織は、罰則を受けるだけでなく、顧客、パートナー、従業員の間で信頼を失い、評判が損なわれる可能性もあります。

潜在的な影響の重大さを考慮し、多くの企業の取締役会は企業のサイバーリスク管理に積極的な関心を示しています。実際、多くの取締役が、サイバーセキュリティへの取り組みとその成果について責任を問われるケースが増えています。

サイバーリスクマネジメントの仕組み

サイバーリスクマネジメントとは、組織のニーズに合わせた戦略的なサイバーセキュリティ対策を採用し、強固なコンプライアンス体制を促進することです。サイバーリスクマネジメントには、以下の6つの主要な構成要素や活動領域があり、それらを統合的に運用することが求められます。

リスクベースの資産の特定と分類：アタックサーフェスの全体像を余すところなく把握することにより、あらゆる資産とデータを認識し、サイバー攻撃に対する防御を強化します。
リスクベースの脆弱性分析：最も重大なリスクをもたらす脆弱性に重点を置き、定期的かつ継続的に資産を調査し、脆弱性を検証します。
リスクベースの脅威評価：進化する脅威環境を認識してリスクを分析し、組織の重要な資産にとって潜在的に最も危険な脅威を特定します。
リスクの優先順位付け：特に緊急性が高く、重大な影響をもたらす可能性のあるリスクを特定することにより、意思決定の参考となる情報を提供するとともに、サイバーセキュリティ投資の方向性を定めます。
ゼロトラスト・リスクベースの制御：ゼロトラストの概念に基づくシステム構成を導入し、を導入し、アタックサーフェスを縮小し、リスクを抑制します。
継続的な監視と改善：アタックサーフェス全体の可視性を一元化し、リスク管理を継続的に行いながら、変化する脅威に対応できるようにします。

サイバーリスクマネジメントフレームワークの概要

サイバーリスクマネジメントフレームワークにより、組織は、サイバーセキュリティリスクをプロアクティブに特定、診断、軽減するために必要な組織的なアプローチを提供します。このアプローチには、企業のサイバーセキュリティプラットフォームを活用するための規則や手順が含まれます。

米国国立標準技術研究所（NIST）は、他の組織が参考にできるよう、サイバーセキュリティフレームワークを公開しています。NISTフレームワークは、サイバーリスク管理の具体的な実施方法を規定するのではなく、組織がサイバーリスク管理を通じて具体的に何を達成目標とするのかを自ら見定められるよう支援することに重点を置いています。

最終的に、NISTのフレームワークを活用することで、組織は現在のセキュリティ状況を理解・診断し、リスクと対応策の優先順位を決定し、サイバーセキュリティ活動を社内外で共通の方法で伝達できるようになります。

サイバーリスクマネジメントの実施方法

多くの国の公共機関は、サイバーリスクマネジメントのモデルを導入するための段階的アプローチを公表しています。たとえば、英国国立サイバーセキュリティセンターは、次の8つのステップからなるアプローチを提唱してしています。

組織が置かれている状況や背景を確立
意思決定者、ガバナンスプロセス、および制約を特定
サイバーセキュリティのリスクの課題を定義
アプローチを選択
リスクとその管理方法を理解
コミュニケーションとコンサルティング
実施と保証
監視と見直し

英国のモデルは、アタックサーフェスやリスクの状況を理解することの重要性だけでなく、組織独自の状況や背景や条件を把握することの重要性も強調しています。これには、企業の重点分野や価値観、主要なステークホルダー、および特定のリスクが含まれます。例えば、金融サービス分野の企業は、製造業者には求められない不正防止やマネーロンダリング対策に関する要件を満たす必要があります。一方、製造業の企業は、サプライチェーンに関連するサイバーリスクの管理が求められる可能性があります。

共通のサイバーリスクマネジメントのモデルを構築し、リスク環境（攻撃対象領域）を一元的に把握することは、サイバーリスクマネジメントのモデルを導入する上で極めて重要です。共通のサイバーリスクマネジメントのモデルの構築とリスク環境の一元的な把握を実現するには、いくつか必要条件があります。1つは、前述のとおり、サイバーセキュリティにゼロトラストアプローチを採用することです。もう1つは、XDR(Extended Detection and Response)の技術を導入し、アタックサーフェスのデータを収集・分析することです。

サイバーセキュリティプラットフォームの導入は、ゼロトラストへの移行に大きく貢献します。包括的なプラットフォームには、XDR(Extended Detection and Response)などのセキュリティ運用も組み込まれており、サイバーリスク管理に必要な重要な基盤を提供します。

アタックサーフェスマネジメントとサイバーリスクマネジメントの関係性

アタックサーフェスマネジメント（ASM）は包括的なサイバーリスクマネジメントの重要な側面です。その名のとおり、アタックサーフェスマネジメントは、主としてアタックサーフェスに特化した管理手法で、組織のシステムやデータへの不正アクセスを引き起こす可能性のある脆弱性、アクセスポイント、攻撃経路をまとめて管理することを目的とします。

アタックサーフェスマネジメントは、アタックサーフェスに関連するリスクの発見、診断、軽減に重点を置いており、本来は継続的かつ絶え間ないプロセスとして実施されるべきものです。

発見とは、攻撃対象領域とそれを構成するすべての資産を定義することを指します。その実現には、IT環境をスキャンし、既知や未知のあらゆるデバイス、ソフトウェア、システム、アクセスポイントを特定できるアタックサーフェスマネジメントのソリューションが不可欠です。発見のフェーズには、シャドーITアプリケーション、接続されたサードパーティ技術、これまでの資産管理に含まれていなかった技術の特定も含まれます。

診断とは、発見されたすべての資産に関連するリスクの緊急度と潜在的な深刻度を決定するプロセスです。このプロセスには、リスクの定量化とリスクスコアリング―すなわち、脆弱性およびリスクを客観的に優先順位付けし、ランク付けする方法が含まれます。

軽減とは、発見された脆弱性に対処する具体的な措置を講じることです。具体的には、ソフトウェアの更新やパッチの適用、セキュリティ制御やハードウェアの導入、ゼロトラストなどの保護フレームワークの実装などがあります。また、古いシステムやソフトウェアを廃止することも軽減策の一部です。

サイバーリスクマネジメントに関するサポートを受けるには

トレンドマイクロリサーチは、ポネモン研究所と共同でサイバーリスクインデックス（CRI）を開発しました。CRIにより、サイバーリスクを調査し、サイバーセキュリティを強化するための重点分野を特定することができます。定期的に更新されるこのサイバーリスクインデックス（CRI）は、組織の現在のセキュリティ体制と、攻撃を受ける可能性との差を測定します。組織のリスクスコアを算出するには、CRI計算ツールを使います。

Trend Vision One™ が提供するCyber Risk Exposure Management(CREM)ソリューションは、組織が単なるアタックサーフェスマネジメントの枠を超えて、そのサイバーリスクの影響を軽減できるよう支援するものです。CREMは、External Attack Surface Management(EASM)、Cyber Asset Attack Surface Management(CAASM)、 Vulnerability Management、Security Posture Managementといった主要な機能を統合し、クラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションにわたる包括的で使いやすいソリューションを提供します。脅威を管理するだけでなく、真のリスクレジリエンスを構築することが重要です。

CREMが脅威の特定、優先順位付け、および軽減にどのように役立つか、詳しくはこちら

セキュリティ用語解説ページTOPに戻る

サイバーリスクマネジメント（CRM）のトピック

サイバーリスクマネジメント(CRM)

サイバーリスクマネジメント(CRM)とは

サイバーリスクマネジメント