取締役会にサイバーセキュリティの評価指標を提示する必要がある場合は、インパクトがあり、理解しやすく、ビジネスの成果に関連する評価指標を選択することが不可欠です。
ここでは、レポートに含めるべき最適な指標を紹介します:
MTTD の重要性は、組織がサイバーセキュリティの脅威に効果的に対応し、緩和する能力に直接影響する点にある。MTTD が短ければ短いほど、より効率的でプロアクティブなサイバーセキュリティ態勢を示し、潜在的な脅威に対する迅速な特定と対応が可能になります。この迅速な検知は、サイバー攻撃による損害を最小限に抑え、ダウンタイムを短縮し、機密データを保護する上で極めて重要である。
企業は、膨大な量のデータを分析し、潜在的なセキュリティ・インシデントを示す異常を検知 できるAIや機械学習アルゴリズムなどの高度なサイバーセキュリティ・ソリューションを採用することで、MTTDの最適化に努めている。MTTDを削減することで、企業は進化し続けるサイバー脅威の状況に対する全体的なセキュリティ回復力と準備態勢を大幅に強化することができる。
MTTD(Mean Time to検知 )とは、セキュリティインシデントが最初に発生してからセキュリ ティチームによって検出されるまでの時間間隔を測定することによって算出される。MTTD の計算式は比較的単純である:
MTTD=すべてのインシデントを検知 するまでの総時間/検知されたインシデント数
以下は、計算プロセスのステップ・バイ・ステップの内訳である:
その結果、セキュリティシステムまたはチームがインシデントを検知 するまでにかかる平均時間が示される。MTTD が低いほど一般的に優れています。これは、インシデントがより迅速に検出され、より迅速な対応と緩和が可能であることを示しているからです。
組織は、セキュリティ監視ツールやプロセスの有効性を評価するために、MTTDを追跡することが多い。AI主導 セキュリティ・プラットフォームなどのテクノロジーの改善は、セキュリティ侵害を示す可能性のある異常な活動を迅速に特定し警告することで、MTTDを削減するのに役立ちます。
良い」平均検知 時間(MTTD)を決めるには、業種、規模、IT インフラの複雑さ、扱うデータの性質な ど、組織固有の状況に大きく依存する。しかし、一般的には、MTTD が短いほど好ましい。これは、潜在的なセキュリ ティ脅威がより迅速に検知され、迅速な対応と緩和が可能になることを示すからである。
以下は、特定の組織にとって良いMTTDとは何かを評価する際に考慮すべきいくつかの要素である:
万能の答えはないが、経験則から言えば、組織は自社の業務と脅威環境の中で、実行可能な限り低い MTTD を目指すべきである。継続的な監視と改善が鍵であり、潜在的な被害を最小限に抑えるために、脅威を検知 し、可能な限り迅速に対応することが常に目標である。
MTTRは、組織が検出されたサイバーセキュリティの脅威に対処し、その影響を軽減するための効率と速度を測定する。
根本原因の特定、脅威の封じ込め、悪意のある要素の根絶、システムの通常稼働への復旧など、インシデントへの対応プロセス全体を包含する。
MTTRは、インシデントへの対応と解決に費やされた総時間を、一定期間のインシデント数で割って算出される:
MTTR=インシデントの対応と解決に費やした時間の合計/インシデント数
それを分解する:
その結果、個々のインシデントへの対応と解決にかかる平均時間が算出される。MTTRには、インシデントが検出されてから完全に解決されるまでのプロセス全体が含まれることに注意することが重要である。
優れた平均応答時間(MTTR)は文脈に依存し、組織の業務内容、IT環境の複雑さ、直面する脅威の種類によって異なる。しかし、いくつかの一般的な原則は、優れた MTTR と見なされる目安になる:
要約すると、優れたMTTRとは、迅速かつ効果的な対応能力を反映し、組織の特定の状況に合わせ、業界標準や継続的改善目標に照らしてベンチマークされたものである。
検知率とは、セキュリティ・システムによって検知された実際のセキュリティ脅威の割合である。
侵入検知システム(IDS)、アンチウイルス・ソフトウェア、その他の脅威検知ソリューションのようなセキュリティ・ツールの重要なパフォーマンス指標である。
検出率は通常、実際の脅威の総数に対する真陽性検出数(正しく識別された実際の脅威)の比率として計算される。
公式は通常こうだ:
検出率=(真陽性数÷実際の脅威総数)×100
検出率が高いということは、セキュリティ・システムが実際の脅威を識別する上で効果的であることを示しており、これはセキュリティ侵害を防ぐ上で極めて重要である。
また、システムが正当な活動と悪意のある活動を区別する能力も反映されるため、偽陰性(本当の脅威を見逃してしまう)を最小限に抑えることができる。
良い」検知率とは、誤検知を最小限に抑える必要性とのバランスを取りつつ、実際の脅威の大部分を確実に特定できる程度に高いものである。理想的な検出率は、組織の具体的な状況、リスク許容度、直面する脅威の性質によって異なるが、考慮すべき一般的なガイドラインがある:
要約すると、優れた検知率とは、管理可能なレベルの誤検知を維持しながら、真の脅威の検知を最大化するものであり、進化する脅威や業界のベンチマークに対して継続的に評価されるべきものである。
誤認識率は、生成されたすべてのセキュリティアラートに対するこれらの不正確な識別の割合を測定する。
誤検知率が高い場合、セキュリティ専門家が誤ったアラームに圧倒され、真の脅威をうっかり見過ごしてしまう「アラート疲れ」につながる可能性があります。また、チームは実際の脅威ではないインシデントの調査や対応に時間を費やすため、リソースの浪費にもつながります。
誤検知率は、通常、誤検知の数をセキュリティアラートの総数(真陽性と誤検知の両方)で割った値として計算される。
偽陽性率=(偽陽性数/アラート総数)×100
誤検知率の許容レベルは、組織の規模、事業内容、リスク許容度によって異なる。ある環境では、本当の脅威を見逃さないために高いレートを好むかもしれないし、ある環境では、リソースの利用を最適化するために低いレートを目指すかもしれない。
リスク・スコアは、サイバーセキュリティ・リスクを理解し、評価し、優先順位をつけるための重要なツールである。
リスクスコアは通常、さまざまなリスク要因を単一の包括的な指標に凝縮した数値である。これは、組織がサイバーセキュリティの脅威の可能性と潜在的な影響を評価し、リスク管理と緩和戦略に関する情報に基づいた意思決定を促進するのに役立ちます。
リスクを定量化することで、リスク・スコアは、経営幹部や取締役会メンバーなど、技術者以外の利害関係者とのサイバーセキュリティ問題に関するコミュニケーションを促進する。
これは、定量化されたリスクレベルに基づいて資源と努力を配分する、リスクベースのセキュリティプログラムに不可欠なものである。
リスク・スコアは、多くの場合、脆弱性評価、脅威インテリジェンス・フィード、過去のセキュリティ・インシデント、および現在のセキュリティ管理の有効性からのデータを組み込んで、様々な方法論を使って計算される。
正確な計算式は、組織が使用する特定のツールやリスク評価の枠組みによって異なる可能性がある。
リスク・スコアは静的なものではありません。新たな脆弱性、新たな脅威、ビジネスやIT環境の変化を反映するために、定期的に更新する必要があります。
Vulnerability Exposure Timeは、攻撃者が脆弱性を悪用する機会を示す。
脆弱性の露出時間は、リスク管理と優先順位付けのための重要な指標である。組織は多くの場合、脆弱性の深刻度と影響を受けるシステムの重要度に基づいてパッチの優先順位を決める。
また、組織のパッチ管理と脆弱性管理プロセスの有効性を評価するのにも役立つ。
脆弱性露出時間の追跡と最小化は、プロアクティブなセキュリティ戦略の一部である。これは、強固なセキュリティ態勢を維持するという組織のコミットメントを示すものである。
この計算には通常、脆弱性が公に開示または発見された日付と、パッチまたは修正プログラムが適用された日付との間の時間間隔を決定することが含まれる。
例えば、ある脆弱性が1月1日に公開され、1月10日にパッチが適用された場合、脆弱性露出時間は9日となる。
脆弱性の露出時間が長ければ長いほど、攻撃者が脆弱性を悪用し、セキュリティ侵害につながるリスクが高まります。この時間を最小化することは、サイバー攻撃のリスクを減らすために極めて重要である。
インシデント発生率は、組織の全体的なセキュリティの健全性とサイバーセキュリティ対策の有効性を示す重要な指標である。
インシデント発生率は、組織のサイバーセキュリティ戦略に影響を与え、セキュリティ・ポリシー、従業員トレーニング・プログラム、インシデント対応計画の見直しや調整を促す。
また、脅威の検出、リスク評価、予防措置といった分野での改善も推進できる。
通常、インシデント発生率は、セキュリティインシデントの総件数を、インシデントが発生した期間で割ることによって算出される。
例えば、ある組織が 1 年間に 24 件のセキュリティインシデントを経験した場合、インシデント発生率は 1 カ月当たり 2 件となる。
インシデント発生率の重要性は、組織の規模、業種、扱うデータの種類によって異なる。例えば、厳しい規制コンプライアンス下にある業界(金融や医療など)では、セキュリティ・インシデントに対する許容度が低くなる可能性がある。
インシデント率をより有意義に理解するためには、類似の組織や業界平均をベンチマークすることが重要である。
インシデントごとのコスト指標は、セキュリティ侵害の経済的な影響を理解し、効果的なリスク管理とサイバーセキュリティ対策への投資を導くために極めて重要である。
インシデント1件当たりのコストを把握することで、企業はセキュリティ侵害の財務的影響と、効果的なサイバーセキュリティ対策への投資の重要性を測ることができます。
これは、事故による潜在的損失に対する予防措置のコストを比較するための基礎となり、予算編成や資源配分の決定に役立つ。
この指標は、利害関係者にサイバーセキュリティ投資の価値を伝え、予算配分を正当化するのに役立ちます。また、サイバーセキュリティに対するプロアクティブなアプローチを奨励し、コストのかかるインシデントを回避するための強固な予防措置の必要性を強調します。
インシデント 1 件当たりのコストの計算では、セキュリティインシデントに関連するすべての直接コストと間接コストを合計し、それをインシデントの総件数で割る。
例えば、ある組織が 1 年間に 10 件のセキュリ ティインシデントによって 100 万ドルのコストが発生した場合、インシデント 1 件当 たりのコストは 10 万ドルとなる。
インシデント1件当たりのコストは、インシデントの性質や重大性、組織の規模、事業を行っている業界、関係するデータの機密性によって大きく異なる。
規制の厳しい業界や機密データを扱う組織は、コンプライアンス要件が厳しくなり、風評被害が拡大する可能性があるため、より高いコストに直面する可能性がある。
コンプライアンス率は、安全でコンプライアンスに準拠したIT環境の維持に対する組織のコミットメントを示す指標である。
コンプライアンス率のモニタリングは、組織が不足している分野を特定し、是正措置を講じるのに役立つ。これは、特にリスク管理およびコーポレート・ガバナンスにおける戦略的プランニングに不可欠である。
高いコンプライアンス率は、法的・規制上のリスクを最小限に抑えるために極めて重要です。コンプライアンス違反は、多額の罰金、法的影響、風評被害につながる可能性があります。また、特にデータ・セキュリティが最重要視される業界では、顧客の信頼を築き、維持する上でも重要な役割を果たします。
遵守率は、組織に適用される具体的な要求事項や基準に応じて、さまざまな方法で算出することができる。多くの場合、さまざまな基準にわたってコンプライアンスを評価し、コンプライアンス全体の割合を計算することになる。
例えば、評価基準100項目のうち90項目が適合していれば、適合率は90%となる。
コンプライアンスは1回で達成できるものではなく、継続的なモニタリングと、新たな規制や脅威の進化に適応するための継続的な改善が必要です。
ユーザー意識レベルは、従業員がサイバーセキュリティの様々な脅威(例えば、以下のようなもの)についてどの程度熟知しているかを測定するものである。 フィッシングmalware)、セキュリティ侵害の潜在的な結果、そしてそのようなインシデントを防止するためのベストプラクティスについて、スタッフがどの程度熟知しているかを測定する。
また、従業員がセキュリティ上の脅威を認識し、適切に対応する能力も評価される。
ヒューマンエラーや認識不足がセキュリティ侵害の重大な要因になることが多いため、組織全体のサイバーセキュリティ態勢を強化するには、高いユーザー認識レベルが不可欠です。
従業員を教育することで、従業員のミスによるセキュリティ・インシデントの可能性を減らし、従業員が組織のセキュリティに積極的に貢献できるようにし、サイバーセキュリティ戦略の全体的な有効性を高めることができる。
高いユーザー意識レベルを維持することは継続的なプロセスであり、脅威が進化し、新しい技術が出現するにつれて、定期的な更新と強化が必要となる。
サイバーセキュリティの指標を理解し、効果的に活用することは、組織のセキュリティ体制を強化する上で最も重要です。Vectra AIは、高度な分析とレポート機能を提供し、サイバーセキュリティのパフォーマンスを測定、分析、改善するお手伝いをします。当社のソリューションが、お客様のSOCチームに実用的な洞察を提供し、セキュリティ戦略を前進させる方法について、今すぐお問い合わせください。
サイバーセキュリティの指標は、組織のサイバーセキュリティ態勢の有効性を評価するために使用される定量化可能な尺度である。これにより、セキュリティ・プロセスのパフォーマンス、システムの検出能力、対応戦略の効率性を把握することができます。
これにより、セキュリティチームはパフォーマンスを評価し、改善すべき領域を特定し、セキュリティ投資の価値を利害関係者に示すことができる。
主なメトリクスには、インシデントの検知 時間(MTTD)と対応時間(MTTR)、検出されたインシデントの数、パッチ管理の効率、ユーザー意識トレーニングの効果などがある。
SOCチームはこれらのメトリクスを使用して、業務効率の追跡と分析、インシデント対応時間の改善、特定されたリスクと脆弱性に基づくリソースと取り組みの優先順位付けを行います。
定量的な評価指標は数値に基づくものであり、客観的な測定が可能である(例えば、侵入された記録の数)。一方、定性的な評価指標は記述的なものであり、セキュリティプロセスと管理の質を評価する。
MTTD は、最初の侵害からセキュリティツールまたは要員によって検出されるまでの間隔を計算す ることによって測定することができる。
パッチ管理の効率性は、組織が脆弱性に対するパッチをいかに迅速かつ効果的に導入できるかを測るものであり、エクスプロイトによる攻撃を防ぐために極めて重要である。
この指標は、以下のようなセキュリティの脅威をユーザーがどれだけ識別し、対応できるかを評価するものです。 フィッシング ソーシャル・エンジニアリング攻撃のリスクを低減するために重要です。
メトリクスは、リスクの特定、評価、優先順位付けに役立つデータ主導の洞察を提供し、より戦略的なリスク管理の意思決定を促進する。
測定基準が常に適切であり、組織のセキュリティ態勢と目標を反映していることを確認するために、少なくとも四半期ごとに定期的に見直すことが推奨される。