サイバーリスクの定量化(CRQ)

サイバーリスクの定量化(CRQ)とは

サイバーリスクの定量化(CRQ)は、サイバーセキュリティリスクを数値化し、企業の戦略的判断に役立てるためのアプローチです。

サイバーリスクの定量化(CRQ)

近年、取締役会や経営層は、サイバーセキュリティ侵害やデータ損失、コンプライアンス違反などの責任をより厳しく問われるようになっています。その結果、サイバーセキュリティは単なる技術的課題ではなく、戦略的なビジネス課題として認識されるようになりました。サイバーリスクの定量化(CRQ)は、サイバーセキュリティリスクを客観的なビジネス指標として捉え、企業のリスク管理を最適化するアプローチです。

CRQはサイバーリスク管理において重要な要素であり、組織が財務的損失(収益減少、システム停止)や競争力の低下(市場シェアの喪失)といったセキュリティリスクによる潜在的なビジネス損失を予測し、対応策を講じるのに役立ちます。このアプローチにより、企業はサイバーセキュリティ投資の最適な配分を決定し、その価値や潜在的な投資収益(ROI)を評価できるようになります。結果として、サイバーセキュリティ予算の正当性を合理的に説明することができます。

FAIRモデルは、CRQの一般的な算出方法の1つです。この算出方法はFAIR Instituteによって設計されたもので、Factor Analysis of Information Risk(情報リスクの要因分析)の頭文字をとってFAIRと名づけられました。FAIRは、CRQに関する国際基準です。

サイバーリスクとは

米国標準技術研究所(NIST)は、サイバーリスクを次のように定義しています。

  1. 「サイバーリソースに依存するリスク(すなわち、サイバースペースに存在する、または断続的に存在するシステム、あるいはシステム要素に依存するリスク)」
  2. 「財務的損失、業務の中断、または損害のリスク(情報処理や業務運用のために導入されたデジタル技術が、製造システムに組み込まれた際に、未承認のアクセス、使用、開示、妨害、改変、または破壊によって発生するリスク)」

どちらの定義も、組織はプロアクティブなCyber Risk Exposure Managementのフレームワークを導入・実施することの必要性を示しています。

CRQが重要である理由

CRQモデルを導入することにより、組織としての全体的な経営戦略や方向性を設定する際に、サイバーセキュリティ戦略の策定を組み込むことができます。また、サイバーセキュリティを後回しにするのではなく、ビジネスの中核に据えることができます。

CRQの導入により、サイバーセキュリティの担当者と経営層がサイバーリスクについて同じ視点で議論できるようになり、セキュリティ部門とビジネス部門の連携が強化されます。また、規制当局へのコンプライアンス遵守の証明にも役立ちます。

CRQは、Cyber Risk Exposure Managementとの連携を通じて、組織がサイバーリスクの全体像やアタックサーフェスの脆弱性を把握し、より的確な対応と効率的な資源活用を実現できるよう支援します。

CRQの仕組み

CRQは、企業のサイバーリスクを定量化するプロセスであり、潜在的な脅威を特定、診断、優先順位付けすることで、最も緊急かつ重大なリスクを明確化し、侵害や攻撃が発生した際のビジネスへの影響を算出します。

このプロセスは、攻撃対象領域管理の初期フェーズ(発見と診断)と密接に関連しており、マルウェア、脆弱なパスワード、設定、窃盗、悪意のある内部関係者の行動、フィッシングやビジネスメール詐欺(BEC)に対する脆弱性など、デジタル、物理的、社会的/人的リスクまで幅広くカバーしています。

the-phase-of-cyber-risk-quantification

発見

まず初めに、組織に損害を与える可能性のある潜在的な脅威を特定します。脅威を特定するためには、アタックサーフェス(攻撃対象領域)を包括的に把握することが必要です。アタックサーフェスとは、攻撃者がデータやシステムに不正アクセスし、窃盗や攻撃を行う可能性のあるすべての経路を指します。

この段階では、アタックサーフェスを自動で継続的にスキャンできるサイバーセキュリティプラットフォームが不可欠です。このプラットフォームによって、組織が有する既知・未知の資産、システム、アプリケーション、アクセスポイントだけでなく、通常セキュリティチームが認識しづらい、シャドーITアプリケーション、サードパーティ技術、過去のインベントリから除外された技術や「忘れられた」技術といった要素も把握することができます。

診断

アタックサーフェスを包括的に把握することで、セキュリティ担当者は、設定ミス、パッチ未適用のソフトウェア、コーディングエラーなどの脆弱性を診断することができます。これらの脆弱性も踏まえて、脆弱性を利用した攻撃のタイプやその目的(データの窃盗、ビジネスの妨害、身代金や恐喝など)が何かを予測することが可能となります。

診断の際に注目すべき点:

  • 社内業務から営業および顧客サービス、サプライチェーン、クラウド環境、ソフトウェア開発(DevOps)のプロセスに至るまで、組織のあらゆる領域でリスクを診断するのが理想的です。
  • 初期の評価フェーズが完了したら、セキュリティ担当者はリスクと資産に優先順位を付け、組織と潜在的攻撃者の両者にとって最も価値が高いもの、攻撃に対して最も脆弱なもの、そして(CRQにとって特に重要な)攻撃の発生確率を見極めることができます。
  • CRQでは、リスクの発生確率は確率値として計算され、通常パーセンテージで表されます。例えば、金融サービス企業のCEOの電子メールがBEC攻撃を受ける確率は85%であるのに対し、同じ企業のカフェテリアマネージャーは12%であるといった具合です。この発生確率は統計的なモデルを用いたシミュレーション(例:モンテカルロシミュレーション)によって算出され、通常、ビジネスの四半期や暦年などの特定の期間に対して適用されます。

算出

セキュリティ担当者は診断に基づき、経営層と連携し、潜在的なサイバー攻撃による財務的影響やコストを見積もります。これには、法規制違反による罰則、システム停止や復旧に伴う損失、恐喝や窃盗による財務的損害、評判の低下や市場での信用喪失、訴訟費用などが含まれます。具体的な要因は、組織や業界によって異なりますが、最終的には、サイバー攻撃がビジネスに与えるリスクが具体的な金額(ドル建て)で表されます。

CRQとサイバーリスクスコアリングの違い

トレンドマイクロとサイバーリスクスコアリングの関係性

サイバーリスクの定量化(Cyber Risk Quantification)とサイバーリスクスコアリング(Cyber Risk Scoring)は、どちらもサイバーセキュリティリスクを客観的かつ実証的に分析し、戦略的な意思決定を支援する役割を担っています。

CRQは、サイバーインシデントの潜在的な財務的影響を算出し、侵害、ハッキング、データの窃取が企業に与える影響を金額で評価するのに対し、サイバーリスクスコアリングは、各リスクに数値スコアを割り当て、それらを集計して組織全体のサイバーリスクスコアを算出します。

具体的に説明すると、サイバーリスクスコアリングは、2段階のプロセスがあります。まず、リスクのプロファイリングを行い、関連するリスクとそれを管理するために必要な対策を決定します。次に、各リスクの相対的な緊急度と潜在的な重大度に基づいて、スコアの割り当てを行います。

  • プロファイリングの段階では、組織全体のアタックサーフェスを特定し、その領域全体のリスクと脆弱性を特定するために、詳細な調査と評価が行われます。組織は、その結果を踏まえて必要な管理策を決定し、必要なセキュリティ対策を講じるという流れになります。
  • スコアリングの段階では、脆弱性が悪用される可能性、影響が及ぶ範囲、攻撃が成功した場合の復旧の難易度など、特定された脆弱性ごとに潜在的なリスクと被害のレベルを推定します。
  • グローバルな脅威インテリジェンス(独自のものかオープンソースかを問わず)、公的なセキュリティ評価、特定の脆弱性に対する攻撃者の認識、悪用のしやすさ、悪用の頻度、その他の関連データポイントに関するインテリジェンスも考慮する必要があります。

サイバーリスクスコアを算出する方法は、NISTが提唱するフレームワークや、FAIRモデルなど多岐にわたります。

サイバーリスクスコアリングとCRQは、どちらも効果的なCyber Risk Exposure Managementを促進し、リスクの発見、診断、優先順位付けを行うために、発見と診断というプロセスを共有しています。

CRQの代替アプローチ

CRQは、比較的新しい概念です。多くの組織では依然として、NISTのCybersecurity Framework(CSF)のような、コンプライアンスベースのリスクマネジメントモデルを採用しています。コンプライアンスに基づくアプローチでは、規制要件に準拠した状態を維持することに重点を置いています。一方、CRQツールは、サイバーリスクを数値化することに焦点を当てています。攻撃を未然に防ぐためのアタックサーフェスマネジメントに根ざした包括的なCyber Risk Exposure Management(CREM)戦略の観点から、前述のコンプライアンスに基づくアプローチとCRQツールを組み合わせることにより、最も効果的にサイバーセキュリティを強化することができると考えられます。

CRQの実施方法

サイバーリスクの定量化(CRQ)は、Cyber Risk Exposure Management全般に関わる重要な要素です。CRQを実施するには、企業のサイバーセキュリティ担当者と企業の経営層が良好な連携を結び、うまく連携し、明確な期待値、定期的なやり取り、オープンなコミュニケーション、明確に定義されたプロセスなどに関して調整を行うことができる環境が求められます。

組織は、CRQモデル(FAIRであれ他のアプローチであれ)を使用し、必要なシミュレーションや計算を実行するためのCRQツールを導入する必要が出てきます。サイバーリスクの評価と優先順位付けを適切に行うためには、このようなツールを発見・診断・軽減の各段階に対応できる包括的なサイバーセキュリティプラットフォームに組み込まなければなりません。

迅速かつ効果的な脅威の軽減を実現するため、このプラットフォームにはsecurity information and event management(SIEM)、extended detection and response(EDR)、extended detection and response(XDR)などのセキュリティ運用技術を含めることが求められます。また、XDRはデータ、分析、統合の重要な情報源としても不可欠です。

ゼロトラスト戦略は、長期的なリスク管理と組織のセキュリティ態勢の強化において、CRQを補完する重要な役割を果たします。ゼロトラストは、IT環境全体において必要最低限の権限を与えるという最小特権の原則を徹底するセキュリティモデルです。ゼロトラストという名のとおり、いかなるアクセス要求も無条件で信用することはありません。アクセス権は厳しく管理され、認可されたユーザであっても、必要な時と場所においてのみリソースにアクセスできるよう制限されます。

CRQを導入するには

Trend Vision One™ は、組織がサイバーリスクをビジネス視点で容易に定量化・伝達できるようCyber Risk Exposure Managementソリューションを通じて、CRQ実践の取り組みを支援します。

これは、クラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションなど多岐にわたる分野で、External Attack Surface Management(EASM)、Cyber Asset Attack Surface Management(CAASM)、Vulnerability Management、Security Posture Managementなどの主要機能を包括し、高性能かつシンプルな1つのソリューションに統合するというTrend Vision Oneの画期的なアプローチにより実現されています。この仕組みにより、組織は十分な統制、明確な可視性、そして確かな信頼のもと、先手を打って事業を守ることが可能になります。

Cyber Risk Exposure Managementがサイバーリスクの定量化にどのように役立つか、詳しくはこちら

サイバーリスク定量化 (CRQ)のトピック