CRQ(Cyber Risk Quantification)とは、サイバーセキュリティのリスクを定量化し、戦略的な意思決定に役立てるための手法です。
目次
企業の取締役会や経営陣は、サイバーセキュリティ侵害やデータ損失、コンプライアンス違反といった影響に対して、ますますその責任を問われるようになっています。これを受け、サイバーセキュリティはこれまで以上に戦略的な経営課題となっています。CRQ(Cyber Risk Quantification)は、サイバーセキュリティのリスクを、ビジネスにおける意思決定者にとって意味のある形で把握するための手法です。
CRQはCyber Risk Exposure Management(CREM)の主要な柱であり、セキュリティリスクがもたらす潜在的なビジネスインパクト(収益やダウンタイムに伴う財務的損失、市場シェアの低下といった競争上の損失など)を組織が判断する上で役立ちます。これにより、組織はサイバーセキュリティへの投資を最も必要とされる分野に集中させ、投資価値や潜在的な費用対効果を判断できるため、サイバーセキュリティへの支出の正当性を説明できます。
CRQを算出する一般的な方法の一つにFAIRモデルがあります。FAIR Instituteによって開発されたこのモデルは、「Factor Analysis of Information Risk(情報リスクの因子分析)」の略称です。FAIRは、CRQにおける国際標準です。
サイバーリスクとは何か?
米国標準技術研究所(NIST)は、サイバーリスクを次のように定義しています。
- サイバーリソースへの依存から生じるリスク(すなわち、サイバースペース内に存在する、あるいは断続的に接続されるシステム、またはその構成要素に依存することのリスク)
- 電子的手段を通じて製造システムに導入された情報機能や運用機能に使用されるデジタル技術の障害、または製造システムへの不正アクセス、使用、開示、中断、変更、破壊によって生じる、金銭的損失、業務の中断、または評判などへの損害のリスク
いずれの定義も、組織がプロアクティブなCyber Risk Exposure Management(CREM)のフレームワークを採用し、実装する必要があることを示唆しています。
CRQが重要なのはなぜか?
CRQモデルを導入することで、組織はサイバーセキュリティに関する意思決定を、組織全体の戦略や方向性と統合することができます。サイバーセキュリティは、後付けではなく、ビジネスの中核に位置づけられるべきものなのです。
CRQは、サイバーセキュリティチームとビジネスリーダーがサイバーリスクについて「共通言語で対話する」ための手段を提供し、両チーム間のコミュニケーションを促進します。同様に、規制当局に対してコンプライアンスを証明するための仕組みも提供します。
CRQは、Cyber Risk Exposure Management(CREM)と連携することで、組織が全体的なCyber Risk Exposureやアタックサーフェスの脆弱性を理解する取り組みを支援・強化し、より効果的で的を絞った対応とリソースの有効活用を可能にします。
CRQはどのように機能するのか?
CRQでは、ビジネスに対する潜在的なサイバー脅威をすべて特定し、評価と優先順位付けを行い、各ケースにおける侵害、攻撃、損失がビジネスに与える影響を算出します。
これは、アタックサーフェスマネジメントの最初の2つのフェーズである「発見」と「評価」と密接に連携しており、マルウェア、脆弱なパスワードや設定ミスから、物理的な盗難、悪意のある内部関係者の行為、フィッシングやビジネスメール詐欺(BEC)に対する脆弱性まで、デジタル、物理、人的リスクを幅広くカバーします。
発見
最初のステップは、組織に危害を及ぼす可能性のあるすべての潜在的な脅威を特定することです。そのためには、アタックサーフェス(攻撃対象領域)の全体像を把握する必要があります。アタックサーフェスとは、攻撃者がデータやシステムへ不正にアクセスし、情報を窃取したり攻撃を仕掛けたりすることが可能な、すべての侵入経路の総体を指します。
このステップでは、アタックサーフェスの全体を自動的かつ継続的にスキャンできる、サイバーセキュリティプラットフォームが不可欠です。このプラットフォームは、既知および未知の資産、システム、アプリケーション、アクセスポイントのすべてを網羅します。これには、シャドーITアプリケーションやサードパーティのテクノロジー、さらにはインベントリから漏れていた古い、あるいは「忘れ去られた」テクノロジーなど、従来セキュリティチームが把握しきれなかった要素も含まれます。
評価
アタックサーフェスを包括的に把握することで、セキュリティチームは、設定ミス、未適用のパッチが残るソフトウェア、コーディングエラーといった、相対的な弱点や脆弱性を評価できます。これらの脆弱性に基づいて評価を行うことで、現在および将来にわたり、どのような種類の攻撃によって脆弱性が悪用される可能性があるか、そしてそれらの攻撃が何を目的とするか(例:データ窃取、業務妨害、身代金要求、恐喝など)を特定することも可能です。
評価に関連するいくつかの重要なポイントは以下の通りです。
- 理想的には、内部業務から販売、顧客サービス、サプライチェーン、クラウドリソース、ソフトウェア開発(DevOps)パイプラインに至るまで、組織のあらゆる側面でリスクが評価されます。
- 初期評価が完了すると、セキュリティチームはリスクと資産の優先順位を判断します。具体的には、どれが最も価値が高いか(組織と攻撃者の双方にとって)、どれが最も攻撃に対して脆弱か、そしてCRQにとって重要な攻撃の発生可能性を特定します。
- CRQでは、攻撃の発生可能性を確率として算出し、多くの場合パーセンテージで表します。例えば、ある金融サービス企業において、CEOのメールアカウントがBEC攻撃を受ける確率は85%であるのに対し、同社のカフェテリアマネージャーのメールアカウントが標的となる確率は12%である、といったように算出されます。攻撃の発生可能性は、モデルベースのシミュレーション(例:モンテカルロシミュレーション)を用いて統計的に決定され、通常は四半期や暦年といった特定の期間を対象として算出されます。
算出
評価に基づき、セキュリティチームはビジネスリーダーと協力して、潜在的なサイバー攻撃がもたらす金銭的価値、すなわちコストを算出します。これには、コンプライアンス違反による罰金、ダウンタイムや復旧にかかる費用、恐喝や盗難による金銭的損失、レピュテーションの低下や市場における地位の喪失、訴訟費用などが含まれます。具体的な要因は、組織や業種によって異なります。最終的に算出された金額が、サイバー攻撃のビジネスリスクを表すことになります。
CRQとサイバーリスクスコアリングとの違い
CRQとサイバーリスクスコアリングは、同様の機能を果たします。どちらもサイバーセキュリティリスクを客観的かつ実証的な観点から捉え、戦略的な意思決定に役立てるものです。
CRQがサイバーインシデントの潜在的な金銭的価値(侵害、ハッキング、データ盗難などによって組織が被る可能性のある損害)を算出するのに対し、サイバーリスクスコアリングは、各リスクに数値スコアを割り当て、それらを基に組織全体のサイバーリスクスコアを算出します。
具体的には、サイバーリスクスコアリングには、リスクのプロファイリング(関連するリスクと、それを管理するために必要な対策の決定)と、相対的な緊急性や潜在的な重要度に基づいて各リスクにスコアを割り当てる、という2段階のプロセスが含まれます。
- プロファイリングのステップは、組織全体のアタックサーフェスを定義し、その領域に存在するリスクと脆弱性を特定する、徹底した発見および評価プロセスに基づいています。これらの分析結果に基づいて、組織はどのような対策を実施すべきかを決定できます。
- スコアリングのステップでは、特定された脆弱性ごとに、それが悪用される可能性、影響範囲の広さ、攻撃が成功した場合の復旧の難易度など、潜在的なリスクと損害のレベルを推定します。
- サイバーリスクスコアには、グローバルな脅威インテリジェンス(独自またはオープンソース)、公開されているセキュリティ評価、そして特定の脆弱性に対する攻撃者の認知度、悪用の容易さ、悪用される頻度といった関連データも考慮に入れる必要があります。
サイバーリスクスコアを算出する方法は多岐にわたり、NISTが提唱するフレームワークや前述のFAIRモデルなどがあります。
サイバーリスクスコアリングとCRQは、いずれも適切なCyber Risk Exposure Management(CREM)をサポートするものであり、リスクをプロアクティブに特定、評価、優先順位付けするための同様の発見・評価プロセスを伴います。
CRQの代替手法
CRQは比較的新しいアプローチです。多くの組織では、依然としてNIST Cybersecurity Framework(CSF)のような、コンプライアンスに基づいたリスク管理モデルが採用されています。コンプライアンスベースのアプローチでは、規制要件への準拠を維持することに重点が置かれます。一方、CRQは、サイバーリスクを金額として定量化することに重点を置いています。この2つを組み合わせることで、継続的なアタックサーフェスマネジメントを基盤とした包括的なCyber Risk Exposure Management(CREM)戦略の一環として、最も強力なサイバーセキュリティの成果が期待できます。
CRQの導入方法
CRQは、Cyber Risk Exposure Management(CREM)全体における重要な要素です。CRQを導入するには、組織のサイバーセキュリティチームとビジネスリーダー間の緊密な連携と調整が不可欠です。これには、明確な目標設定、定期的な情報共有、オープンなコミュニケーション、そして明確に定義されたプロセスが含まれます。
組織は、FAIRモデルなどのCRQモデルを選択し、必要なシミュレーションや算出をサポートするツールを導入する必要があります。これらのツールは、サイバーリスクとその相対的な優先度について、情報に基づいた的確な判断を下すために必要なすべてのコンテキストを提供できる、包括的なサイバーセキュリティプラットフォームに統合されるべきです。
具体的には、Cyber Risk Exposure Management(CREM)のすべてのフェーズ、すなわち発見、評価、そして軽減に対応できるプラットフォームが求められます。このプラットフォームには、Security Information and Event Management(SIEM)、Endpoint Detection and Response(EDR)、あるいはExtended Detection and Response(XDR)といったセキュリティ運用技術が組み込まれ、迅速かつ効果的な脅威の軽減を実現する必要があります。XDRは、データ、分析、そして統合の基盤としても不可欠です。
長期的なリスクを最小限に抑え、組織のセキュリティ体制を強化するためには、ゼロトラスト戦略がCRQを補完する重要な要素となります。ゼロトラストは、IT環境のほぼすべての側面に「最小権限の原則」を適用します。その名の通り、いかなる通信も信頼しないことを前提とし、権限は厳密に管理されるため、承認されたユーザであっても、業務上必要な場所とタイミングでのみリソースにアクセスが許可されます。
CRQに関するサポートはどこで受けられるのか?
Trend Vision One™ は、搭載されたCyber Risk Exposure ManagementソリューションによってCRQの実践を支援し、組織がビジネスの言葉でサイバーリスクを容易に定量化し、関係者へ伝達することを可能にします。これは、Trend Vision Oneの革新的なアプローチによって実現されます。
このアプローチは、External Attack Surface Management(EASM)、Cyber Asset Attack Surface Management(CAASM)、脆弱性管理、セキュリティポスチャ管理といった主要な機能を、クラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションにわたり、強力かつ使いやすい単一のソリューションに統合します。これにより、制御性、透明性、そして信頼性を確保しながら、ビジネスをプロアクティブに保護することが可能になります。
Cyber Risk Exposure ManagementがCRQにどのように役立つかについて、詳しくはこちらをご覧ください。