サイバーセキュリティプログラムの有効性を証明する4つの指標、「CARE」：Gartner Insights Pickup（235）

「CARE」フレームワークを使って、組織のサイバーセキュリティプログラムの信頼性やディフェンシビリティを証明する指標を作成する。

[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　2019年7月、欧州のデータプライバシー法に基づき、Marriott InternationalとInternational Consolidated Airlines Group（British Airwaysの親会社）に過去最高レベルの罰金を科す案が発表された。

　発表したのは、英国のデータ保護当局である情報コミッショナー事務局（ICO）のエリザベス・デナム（Elizabeth Denham）委員長だ。同氏は、「この厳しい制裁は、被害規模よりも、両社が人々のデータを保護するための適切な措置を講じなかったことを踏まえたものだ」と説明した。

　だが、デナム氏は2020年11月、大幅に減額された最終的な罰金額を発表した。同氏はこの減額を決めるにあたり、「経済的な影響と支払い余力」を考慮したと報じられている。

　組織は、データ侵害やサイバーセキュリティインシデントに見舞われた場合、「脆弱（ぜいじゃく）性の数の少なさ」や「セキュリティツールへの十分な投資」を問われるわけではない。問題は予算や規模、必要性という点で、適切な対策を取っていたかどうかだ。

　Gartnerは、「3年以内に、サイバーセキュリティ侵害の発生を受けて規制当局が科す罰金額の80％は、侵害の規模ではなく、注意義務の履行を証明できない点に対するものになる」とみている。

サイバーセキュリティの「CARE」フレームワーク

　これまで、サイバーセキュリティの優先順位設定と投資は、主に特定の結果を避けるという観点から行われてきた。例えば、未パッチのセキュリティ脆弱性に起因するインシデントを避けるために、パッチ管理ツールを導入するといった具合だ。

　だが、これは最善の行動方針ではない。サイバーセキュリティの優先順位設定と投資は「一貫性があり、適度かつ妥当で効果的な（CARE：Consistent, Adequate, Reasonable and Effective）一連の制御を達成する」という観点から行われなければならない。Gartnerは、組織のサイバーセキュリティプログラムの信頼性とディフェンシビリティを評価するフレームワークとして、「CARE」を導入した。

　例えば、組織は、脆弱性にパッチを適用するツールとプロセスの存在を単に確認するのではなく、保護レベルに直接関わる結果を測定する必要がある。こうした結果の一例が、基幹システムを重要なパッチで更新するのにかかる日数だ。

　ただし、セキュリティの指標やKPIの業界標準はないため、どの組織も、固有の状況に応じて柔軟に設定する必要がある。

　「つまるところ、価値判断を行うことになる」と、Gartnerのアナリストでシニアディレクターのクロード・マンディ（Claude Mandy）氏は指摘する。

　「CAREの4つの特性は組織にとって、最善の対策をするための多種多様な機会を具体化している。このフレームワークを使って、セキュリティプログラムに賢明な投資をするだけでなく、より良い成果を実現しなければならない」（マンディ氏）

（出所：Gartner　サイバーセキュリティのためのCARE基準）

　Gartnerは、セキュリティとリスク管理のリーダーが、セキュリティ業務指標を非技術者にも分かりやすく表現した20〜30のCARE指標を作成することを勧めている。

　組織のサイバーセキュリティプログラムのチェックリストに含めるべきさまざまなセキュリティ指標を次に示す。これらは、規制当局、顧客、株主など主要なステークホルダーに対し、注意義務の履行を証明するのに役立つ。

一貫性に関する指標

　この指標では、制御が長期にわたって組織全体に、一貫して機能しているかどうかを評価する。一貫性が維持されていることを示すために、毎週、毎月、あるいは四半期ごとに、継続的に更新や測定、報告がなされなければならない。次のような例が挙げられる。

• サードパーティーリスク評価：リスク評価を完了したサードパーティーの割合や制御のカバー範囲を示す
• セキュリティ意識：過去Xカ月にフィッシングトレーニングを受けた従業員の割合

適切性に関する指標

　この指標では、制御がビジネスニーズやステークホルダーの期待を満たしているかどうかを評価する。次のような例が挙げられる。

• パッチ適用の達成度：保護レベル合意（PLA）の下で、パッチが定期的に適用されている資産の割合
• マルウェア対策ソフトウェアの更新の達成度：PLAの下で、マルウェア対策ソフトウェアの定義が定期的に更新されているエンドポイントの割合

妥当性に関する指標

　この指標では、制御がビジネスに与える影響や引き起こす摩擦について設定され、適正で妥当かどうかを評価する。次のような例が挙げられる。

• 遅延とダウンタイム：新しいアクセスを追加する際の平均的な遅延時間（時間単位）
• 苦情：特定の制御に対する苦情の件数

効果に関する指標

　この指標では、制御が望ましい成果を挙げているかどうかを評価する。次のような例が挙げられる。

• 脆弱性の修復：重大なセキュリティ脆弱性の修復に要する平均日数または最大日数など。制御がタイムリーに行われているかを示す
• クラウドでのセキュリティインシデントの発生状況：クラウドの構成上の問題に関連する、クラウドでのセキュリティ問題の年間発生件数

　セキュリティとリスク管理のリーダーは、組織のステークホルダーに合わせて状況を整理し、特定のビジネス部門やシステムの現状を詳細に掘り下げ、CARE指標をビジネス成果と関連付けることができる。

出典：4 Metrics That Prove Your Cybersecurity Program Works（Gartner）

筆者　Susan Moore

Director, Public Relations