サイバーリスクスコアリングとは
サイバーリスクスコアリングは、サイバーセキュリティリスクを数値で表現する手法です。これにより、組織は客観的かつ実証的なデータに基づいて、どのように攻撃対象を防御し、縮小すべきかを決定することができます。
サイバーリスクスコアリングの概要
サイバーリスクスコアリングは、どのサイバーリスクマネジメントフレームワークにおいても欠かせない要素です。スコアを算出することにより、IT資産やデジタル技術に関連するリスクの相対的な重要性について共有と客観的把握ができるようになり、最優先で対処すべきリスクについて実践的な判断を下すことができます。
サイバーリスクスコアの推移を追うことで、組織は全体的なサイバーセキュリティ対応力やセキュリティ体制の強度を評価し、基準とすることが可能になります。
サイバーリスクスコアリングは、内部および外部のIT資産、データ、システム、リソースを含むアタックサーフェス全体に対して適用されます。
サイバーリスクの定量化(CRQ)と同様に、サイバーリスクスコアリングはアタックサーフェスマネジメントの初期の2段階である発見フェーズおよび診断フェーズと密接に関連しています。
具体的には、リスクを評価するために2段階のプロセスを実施します。まず、重要なリスクと、それらのリスクに対してどのような管理策が必要かを洗い出します。次に、それぞれのリスクの優先度や深刻度を評価してスコアを決定します。
サイバーリスクとは?
アメリカ国立標準技術研究所(NIST)は、サイバーリスクを、次の2つ(またはいずれか)と定義しています。
- 「サイバーリソースへの依存に伴うリスク(すなわち、サイバースペースに常時または断続的に存在するシステムやその要素に依存するリスク)」
- 「情報や運用を担うデジタル技術が製造システム内に組み込まれたことにより、不正なアクセス、利用、開示、妨害、変更、または破壊を引き起こし、その結果としてシステムが機能不全に陥り、財務的損失、運用停止、その他の被害をもたらすリスク」
どちらの定義も、組織がプロアクティブなCyber Risk Exposure Managementのフレームワークを導入・運用する必要があることを示しています。
サイバーリスクスコアリングが重要な理由とは?
Cyber Risk Exposure Managementの一環として、サイバーリスクスコアリングはどのリスクが組織にとって最も大きな脅威となるかを、定量的かつ客観的に示します。算出されたスコアは、サイバーセキュリティ対策や投資の判断材料となります。
CRQと同様に、サイバーリスクスコアリングにより、セキュリティの専門家と経営層が共通の指標を基に、リスクを把握し議論することができます。こうした理由から、サイバーリスクスコアリングは、環境、社会、ガバナンス(ESG)や企業の社会的責任(CSR)の領域における組織のパフォーマンスを監視・報告する上で欠かせない支援ツールとなっています。
さらに、組織がサイバー保険に加入できるかどうかの判断材料としても、サイバーリスクスコアが重要視されるようになっています。また、合併や買収の見込み、サプライチェーンのセキュリティ管理、その他の業務分野においても、サイバーリスクスコアリングが利用される可能性があります。
サイバーリスクスコアリングとCRQの関係性とは?
サイバーリスクスコアリングとCRQは、どちらもサイバーリスクを評価する役割を担っていますが、サイバーリスクスコアリングは定性的な手法、CRQは定量的な手法となります。どちらも、サイバーセキュリティリスクを客観的かつ実証的な視点で捉え、戦略的意思決定の根拠とします。
サイバーリスクスコアリングが各リスクに数値スコアを割り当て、その結果から組織全体のサイバーリスクスコアを算出するのに対し、CRQは、情報漏洩、ハッキング、データ窃盗などのサイバーインシデントが発生した場合に企業が被る可能性のある損失額を算出します。その費用には、収益減少、稼働停止、罰金、訴訟といった財務的損失、市場シェアなどに現れる競争上の損失、評判の低下、顧客離れ、その他の被害も含まれます。
また、CRQは攻撃発生の可能性を確率として算出し、パーセンテージで表します。例えば、金融サービス企業のCEOのメールアカウントは85%での確率でBEC攻撃を受ける可能性があるのに対し、同じ企業のカフェテリアマネージャーのメールアカウントが攻撃を受ける確率は12%というふうに表されます。この確率は、モンテカルロシミュレーションなどの、モデルに基づくシミュレーションを用いた統計的手法によって算出され、通常は事業四半期や暦年といった特定の期間に対して計算されます。
サイバーリスクスコアリングとCRQは、どちらも効果的なサイバーリスクマネジメントを実現する手法で、リスクを特定、評価、優先順位付けするため、発見と診断の2つの段階を踏むという共通点があります。
サイバーリスクスコアリングの仕組みとは?
前述のとおり、サイバーリスクのスコアリングには大きく分けて2つのパートがあります。
- リスクプロファイリング
- リスクスコアリング
プロファイリングの段階では、まず、組織が攻撃を受ける可能性のある領域を把握し、その中のリスクや弱点を丹念に洗い出す詳細な調査と診断が行われます。その結果を踏まえて、どの対策を講じるかを組織が判断することができます。
スコアリングの段階では、それぞれの脆弱性について、悪用される可能性、影響の広がり、攻撃が成功した場合の対応の難易度といった観点から、リスクや被害の潜在的なレベルを評価します。
また、サイバーリスクスコアを算出する際には、自社開発かオープンソースかを問わず、グローバルな脅威インテリジェンス、公開セキュリティ評価、特定の脆弱性に対する攻撃者の注目度、悪用の容易性、攻撃頻度などの関連情報も考慮されなければなりません。
その後、個々のサイバーリスクスコアが集計され、組織全体のサイバーリスクスコアが算出されます。
サイバーリスクスコアリングがアタックサーフェスにおいて果たす役割とは?
アタックサーフェスマネジメント(ASM)は、脅威の可視性を向上することにより、組織が自社のデータ及びシステムを効果的に防衛できるよう支援するサイバーセキュリティのアプローチです。リスクが存在する場所を把握し、その相対的な重大度を理解し、さらに人、プロセス、技術に起因するセキュリティの穴を埋めるための対策を講じることが求められます。
このように、サイバーリスクスコアリングは、アタックサーフェスマネジメントの最初の2段階である発見と診断のフェーズに密接に関連しているのです。
ASMの発見プロセスにより、組織が直面する可能性のあるサイバーリスクが可視化されます。企業のアタックサーフェスの全体像を正確に把握することができるため、漏れのないサイバーリスクスコアリングを行うにはこのような情報が不可欠です。
サイバーリスクスコアリングは、実際のデータに裏付けられた客観的な評価基準を提示することにより、どのリスクや脆弱性が最優先で対策すべきか、または後で対応可能かを判断する材料を提供し、アタックサーフェスマネジメントの診断フェーズにおいて重要な役割を果たします。
また、サイバーリスクスコアリングは継続的に実施されるプロセスです。スコアが定期的に更新されるため、サイバーセキュリティの担当者と経営層は、全体のリスク環境がどのように変化しているのかを把握し、どのリスクがより深刻で迅速な対策が求められているか、またどのリスクが効果的に軽減されたかを判断することができます。
サイバーリスクスコアの算出方法
サイバーリスクスコアには多くのフレームワークや手法があります。攻撃発生の可能性を見積もり、その可能性に数値を割り当て、さらに攻撃が引き起こす潜在的な被害の深刻度と掛け合わせることで、数値化されたリスクスコアを算出するというものです。
国立標準技術研究所(NIST)のフレームワーク
NISTは、システム内のすべての部品に対して、低・中・高のセキュリティレベルを割り当て、部品ごとに基本的なセキュリティ対策の基準を定めるサイバーリスクスコアリングの仕組みを提供しています。また、各セキュリティ対策には、組織全体の安全性や個人情報保護の観点を踏まえ、その重要性に応じて1~10までの初期スコアが設定されます。
NISTフレームワークでは、リスクプロファイリングは、必要なコントロールの範囲を決定するのに役立ちます。機密性、完全性、可用性(「CIA」と略します)などの要素は、関連するデータや情報の重要性を基に、1から10までのスコアで評価され、その結果が各種セキュリティ対策に反映されます。
過去のセキュリティ侵害に関する情報や、組織の業界・セクターに影響を与える既知の事象、さらにはその他の背景情報なども考慮され、将来発生し得るインシデントの潜在リスクを的確に示す予測スコアが算出されます。
その他のアプローチ
その他、以下のような方法でもサイバーリスクスコアを算出できます。
- 情報リスクの要因分析 (FAIR)— CRQと同様に、通常は財務ベースのリスクスコアに使用されます。FAIRメソッドでは、リスクをさらに細かい要素に分割し、それぞれを詳細に評価することで、より精度の高いリスク分析が可能です。
- Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE)は、ビジネスの運用に焦点を当て、各資産に特有の脅威やインフラストラクチャの脆弱性からリスクを算出する手法です。
- ISO/IEC 27005は、リスクマネジメントにおける状況や条件といった背景の定義、攻撃の発生可能性を含むリスクの特定や評価、軽減対策(「リスク対応計画」)に関して、Information Security Risk Managementの指針を示します。
リスクスコアリングのもう1つの要因は、Common Vulnerability Scoring System (CVSS)です。CVSSはリスク全体を網羅するわけではありませんが、ソフトウェアが特定した脆弱性の潜在的な重大度をランク付けするのに役立ちます。これらのランキングは、全体的なリスクスコア算出の一部として参照されます。
サイバーセキュリティリスクスコアリングの導入支援とは?
トレンドマイクロはポネモン研究所と協力し、組織が自らのリスクレベルやサイバーセキュリティのギャップを把握するための支援策として「Cyber Risk Index(CRI)」を共同開発しました。CRIは、各種リスクカテゴリや関連する要因を網羅的に分析することで、それぞれの組織に対してリスクスコアを算出します。この指標はユーザ、デバイス、アプリケーション、インターネットに公開されているドメインやIPアドレス、クラウドベースの資産など、さまざまな資産に影響を及ぼすリスク事象も幅広く考慮に入れています。
CRI評価は、連携されたデータソースを活用して、リスク要因が組織固有の環境にどのような影響を及ぼすかを評価します。また、取り込むことができるデータソースが多ければ多いほど、CRIの結果はより充実し、包括的なものになります。
CRIは、リスクイベントの状態の変化が最大1時間以内に反映される形で、4時間ごとに自動更新されます。「再計算」ボタンをクリックすると、手動でCRIを再計算できます。組織のリスクスコアを算出するには、CRI計算ツールを使用してください。
Trend Vision One™ は、組織が脅威を積極的に特定し、そのリスクを診断・軽減することにより、サイバーリスクの全体的な影響を抑制できるよう支援するCyber Risk Exposure Management(CREM)ソリューションを備えています。CREMは、ククラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションといった多岐にわたる分野で、External Attack Surface Management (EASM)、 Cyber Asset Attack Surface Management (CAASM)、脆弱性管理、セキュリティポスチャ管理などの主要な機能を多様な機能と直感的な操作性を備えたソリューションに統合するという、革新的なアプローチを採用しています。脅威の管理だけでなく、真のリスクレジリエンスの構築も重要です。
Cyber Risk Exposure Managementが真のリスクレジリエンスの構築にどのように役立つのかについて、詳しくはこちら
サイバーリスクスコアリングのトピック