PwCコンサルティングは5月12日、「サイバーインテリジェンス連動型セキュリティメトリクス実現支援サービス」の提供を発表した。同サービスは、同社が慶應義塾大学と共同で実施した研究の成果を基に開発したもので、サイバーセキュリティの状況をリアルタイムに把握し、迅速に対応できる態勢の構築を支援する。
同サービスでは、従来のリスクアセスメントによるリスク評価をベースラインとしたうえで、継続的なサイバーインテリジェンス活動を通じてリスク評価を行う「サイバーインテリジェンス」を提供する。
サイバーインテリジェンスにより、日々変化するリスクを捉えたリスク評価結果の補正やリスク対応計画の修正、セキュリティ機器の設定変更・パッチ適用・注意喚起といった対応が可能になる。
-
「サイバーインテリジェンス」を用いたサイバーリスク評価のイメージ
併せて、サイバーインテリジェンスと連動したセキュリティリスクの評価指標である「セキュリティメトリクス」と、各種指標の数値やグラフをまとめて、関係者で共有するための「ダッシュボード」も提供する。
-
「ダッシュボード」のイメージ
セキュリティメトリクスは、組織のセキュリティ態勢に関するあらゆる観点をカバーするKPI(Key Performance Indicator)およびKRI(Key Risk Indicator)群だ。
リスクアペタイト、アタックサーフェス、想定されるセキュリティ侵害のシナリオ、セキュリティ対策の効果とコスト、セキュリティ侵害発生時に想定される被害の内容と大きさなどを、意味のあるまとまりとして定量化し、組織のセキュリティ方針やセキュリティ態勢の成熟度などに応じた基準値を設定することで、各観点の状態が正常(異常)であるかを判別できる。このほか、複数のKPI・KRIを組み合わせて課題の真因や効果的な対処につながるヒントを得る、といった活用も可能だ。
