search close

ソリューション
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中堅・中小企業向けセキュリティ
  - 中堅・中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
プラットフォーム
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - Trend Companion：セキュリティ運用を支援するAI サイバーアシスタント
    - Trend Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    - Cyber Risk Exposure Management
      
      潜在的なリスクの可視化によるインシデントの予防
      詳しくはこちら
  - Security Awareness：フィッシング攻撃シミュレーションとセキュリティ意識向上のためのトレーニング
    - Security Awareness
      
      フィッシング攻撃を想定したシミュレーションとトレーニングを実施し、組織の防御態勢を強化
      詳しくはこちら
- XDR(Extended Detection and Response)
  - XDR(Extended Detection and Response)
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Cyber Risk Exposure Management-Cloud Risk Management：クラウド状態管理、マルウェア、脆弱性対策
    - Cyber Risk Exposure Management-Cloud Risk Management
      
      クラウド資産の可視化に加えて、脆弱性、設定ミスの可視化と優先度づけ、攻撃経路の予測により、リスク軽減をサポート。ベストプラクティスに照らしたコンプライアンス対応状況の把握も可能。エージェントレスでのマルウェア、脆弱性検索にも対応。
      詳しくはこちら
  - Workload Security：クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Container Security：コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security：クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Deep Security：サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）：エンドポイントとサーバのための保護対策。EDR、XDRも提供
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）：オンプレミス型法人向けエンドポイントセキュリティ
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）：エンドポイントとメールのための脅威検出と対策
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム：脆弱性からネットワークを保護
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - Sercure Service Edge：ゼロトラストに基づくWebセキュリティ
    - Sercure Service Edge
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ：ITとOTの接続によるセキュリティリスクへの対応
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      詳しくはこちら
  - 5Gネットワークセキュリティ：次世代ネットワークのセキュリティレベル向上
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      詳しくはこちら
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security：フィッシング、BEC、ランサムウェア、詐欺メールに対応する、AI採用のメールセキュリティ
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- Identitiy Security
  - Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- ソブリンアンドプライベートクラウド
  - ソブリンアンドプライベートクラウド
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 導入事例
  - 導入事例
    
    トレンドマイクロのお客様がどのようにして脅威を予測、防御、検知し、対応しているかについて、事例をご紹介します。
    詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - インターネットの安全とサイバーセキュリティ教育
    - インターネットの安全とサイバーセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

サイバーリスクの定量化(CRQ)

サイバーリスクの定量化(CRQ)とは

サイバーリスクの定量化（CRQ）は、サイバーセキュリティリスクを数値化し、企業の戦略的判断に役立てるためのアプローチです。

詳しくはこちら

サイバーリスクの定量化（CRQ）
サイバーリスクとは
CRQの仕組み
CRQとサイバーリスクスコアリングの違い
CRQの実施方法

サイバーリスクの定量化（CRQ）

近年、取締役会や経営層は、サイバーセキュリティ侵害やデータ損失、コンプライアンス違反などの責任をより厳しく問われるようになっています。その結果、サイバーセキュリティは単なる技術的課題ではなく、戦略的なビジネス課題として認識されるようになりました。サイバーリスクの定量化（CRQ）は、サイバーセキュリティリスクを客観的なビジネス指標として捉え、企業のリスク管理を最適化するアプローチです。

CRQはサイバーリスク管理において重要な要素であり、組織が財務的損失（収益減少、システム停止）や競争力の低下（市場シェアの喪失）といったセキュリティリスクによる潜在的なビジネス損失を予測し、対応策を講じるのに役立ちます。このアプローチにより、企業はサイバーセキュリティ投資の最適な配分を決定し、その価値や潜在的な投資収益（ROI）を評価できるようになります。結果として、サイバーセキュリティ予算の正当性を合理的に説明することができます。

FAIRモデルは、CRQの一般的な算出方法の1つです。この算出方法はFAIR Instituteによって設計されたもので、Factor Analysis of Information Risk（情報リスクの要因分析）の頭文字をとってFAIRと名づけられました。FAIRは、CRQに関する国際基準です。

サイバーリスクとは

米国標準技術研究所(NIST)は、サイバーリスクを次のように定義しています。

「サイバーリソースに依存するリスク（すなわち、サイバースペースに存在する、または断続的に存在するシステム、あるいはシステム要素に依存するリスク）」
「財務的損失、業務の中断、または損害のリスク（情報処理や業務運用のために導入されたデジタル技術が、製造システムに組み込まれた際に、未承認のアクセス、使用、開示、妨害、改変、または破壊によって発生するリスク）」

どちらの定義も、組織はプロアクティブなCyber Risk Exposure Managementのフレームワークを導入・実施することの必要性を示しています。

CRQが重要である理由

CRQモデルを導入することにより、組織としての全体的な経営戦略や方向性を設定する際に、サイバーセキュリティ戦略の策定を組み込むことができます。また、サイバーセキュリティを後回しにするのではなく、ビジネスの中核に据えることができます。

CRQの導入により、サイバーセキュリティの担当者と経営層がサイバーリスクについて同じ視点で議論できるようになり、セキュリティ部門とビジネス部門の連携が強化されます。また、規制当局へのコンプライアンス遵守の証明にも役立ちます。

CRQは、Cyber Risk Exposure Managementとの連携を通じて、組織がサイバーリスクの全体像やアタックサーフェスの脆弱性を把握し、より的確な対応と効率的な資源活用を実現できるよう支援します。

CRQの仕組み

CRQは、企業のサイバーリスクを定量化するプロセスであり、潜在的な脅威を特定、診断、優先順位付けすることで、最も緊急かつ重大なリスクを明確化し、侵害や攻撃が発生した際のビジネスへの影響を算出します。

このプロセスは、攻撃対象領域管理の初期フェーズ（発見と診断）と密接に関連しており、マルウェア、脆弱なパスワード、設定、窃盗、悪意のある内部関係者の行動、フィッシングやビジネスメール詐欺（BEC）に対する脆弱性など、デジタル、物理的、社会的/人的リスクまで幅広くカバーしています。

発見

まず初めに、組織に損害を与える可能性のある潜在的な脅威を特定します。脅威を特定するためには、アタックサーフェス（攻撃対象領域）を包括的に把握することが必要です。アタックサーフェスとは、攻撃者がデータやシステムに不正アクセスし、窃盗や攻撃を行う可能性のあるすべての経路を指します。

この段階では、アタックサーフェスを自動で継続的にスキャンできるサイバーセキュリティプラットフォームが不可欠です。このプラットフォームによって、組織が有する既知・未知の資産、システム、アプリケーション、アクセスポイントだけでなく、通常セキュリティチームが認識しづらい、シャドーITアプリケーション、サードパーティ技術、過去のインベントリから除外された技術や「忘れられた」技術といった要素も把握することができます。

診断

アタックサーフェスを包括的に把握することで、セキュリティ担当者は、設定ミス、パッチ未適用のソフトウェア、コーディングエラーなどの脆弱性を診断することができます。これらの脆弱性も踏まえて、脆弱性を利用した攻撃のタイプやその目的（データの窃盗、ビジネスの妨害、身代金や恐喝など）が何かを予測することが可能となります。

診断の際に注目すべき点：

社内業務から営業および顧客サービス、サプライチェーン、クラウド環境、ソフトウェア開発(DevOps)のプロセスに至るまで、組織のあらゆる領域でリスクを診断するのが理想的です。
初期の評価フェーズが完了したら、セキュリティ担当者はリスクと資産に優先順位を付け、組織と潜在的攻撃者の両者にとって最も価値が高いもの、攻撃に対して最も脆弱なもの、そして（CRQにとって特に重要な）攻撃の発生確率を見極めることができます。
CRQでは、リスクの発生確率は確率値として計算され、通常パーセンテージで表されます。例えば、金融サービス企業のCEOの電子メールがBEC攻撃を受ける確率は85％であるのに対し、同じ企業のカフェテリアマネージャーは12％であるといった具合です。この発生確率は統計的なモデルを用いたシミュレーション（例：モンテカルロシミュレーション）によって算出され、通常、ビジネスの四半期や暦年などの特定の期間に対して適用されます。

算出

セキュリティ担当者は診断に基づき、経営層と連携し、潜在的なサイバー攻撃による財務的影響やコストを見積もります。これには、法規制違反による罰則、システム停止や復旧に伴う損失、恐喝や窃盗による財務的損害、評判の低下や市場での信用喪失、訴訟費用などが含まれます。具体的な要因は、組織や業界によって異なりますが、最終的には、サイバー攻撃がビジネスに与えるリスクが具体的な金額（ドル建て）で表されます。

CRQとサイバーリスクスコアリングの違い

サイバーリスクの定量化（Cyber Risk Quantification）とサイバーリスクスコアリング（Cyber Risk Scoring）は、どちらもサイバーセキュリティリスクを客観的かつ実証的に分析し、戦略的な意思決定を支援する役割を担っています。

CRQは、サイバーインシデントの潜在的な財務的影響を算出し、侵害、ハッキング、データの窃取が企業に与える影響を金額で評価するのに対し、サイバーリスクスコアリングは、各リスクに数値スコアを割り当て、それらを集計して組織全体のサイバーリスクスコアを算出します。

具体的に説明すると、サイバーリスクスコアリングは、2段階のプロセスがあります。まず、リスクのプロファイリングを行い、関連するリスクとそれを管理するために必要な対策を決定します。次に、各リスクの相対的な緊急度と潜在的な重大度に基づいて、スコアの割り当てを行います。

プロファイリングの段階では、組織全体のアタックサーフェスを特定し、その領域全体のリスクと脆弱性を特定するために、詳細な調査と評価が行われます。組織は、その結果を踏まえて必要な管理策を決定し、必要なセキュリティ対策を講じるという流れになります。
スコアリングの段階では、脆弱性が悪用される可能性、影響が及ぶ範囲、攻撃が成功した場合の復旧の難易度など、特定された脆弱性ごとに潜在的なリスクと被害のレベルを推定します。
グローバルな脅威インテリジェンス（独自のものかオープンソースかを問わず）、公的なセキュリティ評価、特定の脆弱性に対する攻撃者の認識、悪用のしやすさ、悪用の頻度、その他の関連データポイントに関するインテリジェンスも考慮する必要があります。

サイバーリスクスコアを算出する方法は、NISTが提唱するフレームワークや、FAIRモデルなど多岐にわたります。

サイバーリスクスコアリングとCRQは、どちらも効果的なCyber Risk Exposure Managementを促進し、リスクの発見、診断、優先順位付けを行うために、発見と診断というプロセスを共有しています。

CRQの代替アプローチ

CRQは、比較的新しい概念です。多くの組織では依然として、NISTのCybersecurity Framework(CSF)のような、コンプライアンスベースのリスクマネジメントモデルを採用しています。コンプライアンスに基づくアプローチでは、規制要件に準拠した状態を維持することに重点を置いています。一方、CRQツールは、サイバーリスクを数値化することに焦点を当てています。攻撃を未然に防ぐためのアタックサーフェスマネジメントに根ざした包括的なCyber Risk Exposure Management(CREM)戦略の観点から、前述のコンプライアンスに基づくアプローチとCRQツールを組み合わせることにより、最も効果的にサイバーセキュリティを強化することができると考えられます。

CRQの実施方法

サイバーリスクの定量化（CRQ）は、Cyber Risk Exposure Management全般に関わる重要な要素です。CRQを実施するには、企業のサイバーセキュリティ担当者と企業の経営層が良好な連携を結び、うまく連携し、明確な期待値、定期的なやり取り、オープンなコミュニケーション、明確に定義されたプロセスなどに関して調整を行うことができる環境が求められます。

組織は、CRQモデル（FAIRであれ他のアプローチであれ）を使用し、必要なシミュレーションや計算を実行するためのCRQツールを導入する必要が出てきます。サイバーリスクの評価と優先順位付けを適切に行うためには、このようなツールを発見・診断・軽減の各段階に対応できる包括的なサイバーセキュリティプラットフォームに組み込まなければなりません。

迅速かつ効果的な脅威の軽減を実現するため、このプラットフォームにはsecurity information and event management(SIEM)、extended detection and response(EDR)、extended detection and response(XDR)などのセキュリティ運用技術を含めることが求められます。また、XDRはデータ、分析、統合の重要な情報源としても不可欠です。

ゼロトラスト戦略は、長期的なリスク管理と組織のセキュリティ態勢の強化において、CRQを補完する重要な役割を果たします。ゼロトラストは、IT環境全体において必要最低限の権限を与えるという最小特権の原則を徹底するセキュリティモデルです。ゼロトラストという名のとおり、いかなるアクセス要求も無条件で信用することはありません。アクセス権は厳しく管理され、認可されたユーザであっても、必要な時と場所においてのみリソースにアクセスできるよう制限されます。

CRQを導入するには

Trend Vision One™ は、組織がサイバーリスクをビジネス視点で容易に定量化・伝達できるようCyber Risk Exposure Managementソリューションを通じて、CRQ実践の取り組みを支援します。

これは、クラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションなど多岐にわたる分野で、External Attack Surface Management(EASM)、Cyber Asset Attack Surface Management(CAASM)、Vulnerability Management、Security Posture Managementなどの主要機能を包括し、高性能かつシンプルな1つのソリューションに統合するというTrend Vision Oneの画期的なアプローチにより実現されています。この仕組みにより、組織は十分な統制、明確な可視性、そして確かな信頼のもと、先手を打って事業を守ることが可能になります。

Cyber Risk Exposure Managementがサイバーリスクの定量化にどのように役立つか、詳しくはこちら

セキュリティ用語解説ページTOPに戻る

サイバーリスク定量化 (CRQ)のトピック

アタックサーフェスマネジメント(ASM)

サイバーリスクマネジメント(CRM)

サイバーリスクスコアリング

サイバーリスクの定量化(CRQ)

サイバーリスクの定量化(CRQ)とは

サイバーリスクの定量化（CRQ）