「脆弱性管理の価値に対して理解を得るための4つのステップ」の詳細は、こちらからダウンロードしてください |
企業を狙ったサイバー攻撃の進化が加速する昨今、多くのセキュリティチームが人員不足や予算不足に頭を悩ませている。その一因となっているのが、セキュリティプログラムの「価値」を評価する立場にある経営層の理解不足だ。これを解消するには、経営層に向け、セキュリティ運用への十分なリソース配分がいかにビジネスに利益をもたらすのかをわかりやすく説明する必要がある。
だが、セキュリティチームが行う脆弱性管理プログラムでは、パッチが適用されていない脆弱性の数や検査した資産の数など、ビジネス戦略と直結しない数字が管理指標になっていることが少なくない。いくらこれらの数字を挙げて説明しても、技術者以外のステークホルダーにはあまり意味をなさないだろう。
では、脆弱性管理プログラムへの投資価値と効果を明確に伝え、ビジネスに対するセキュリティチームの貢献度を適正に評価してもらうには、どうすればよいのだろうか。
Rapid7のホワイトペーパー「脆弱性管理の価値に対して理解を得るための4つのステップ」では、経営層に情報を提供する上で押さえるべきポイントや、効果的なレポートに必要な要素などがまとめられている。本稿では、その一部をご紹介しよう。
ホワイトペーパー
「脆弱性管理の価値に対して理解を得るための4つのステップ」
> > 資料ダウンロードはこちら
経営層に”伝わる”業務管理指標とは?
多くのセキュリティチームでは、脆弱性管理プログラムの管理指標としてCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)スコアやサイバー攻撃を受けた数などが利用されている。これらは、脆弱性の実態を把握するには有効であり、対応すべきリスクの優先順位を検討する上で役立つものの、やはり技術者以外のステークホルダーには響かない数字だ。
さらに、もし経営層に報告する直前に重大なパッチが必要な事態が発生した場合、リスクスコアの合計値が増大するため、あたかもセキュリティチームが十分な働きをしていないかのように見えてしまう。
こうした事態を回避するためにも、経営層に提供する情報は、ビジネスのKPI(Key Performance Indicators)に対応する重要リスク指標「KRI(Key Risk Indicators)」に基づいている必要がある。
例えば、経理部門がシステム障害による請求の遅延率(%)をKPIの1つにしている場合、対応するKRIはそのシステムの重要パッチの未実施率(%)だと考えられる。具体的な管理指標として、経理部門のシステムの脆弱性の数や深刻な脆弱性の割合、パッチが適用された数などを設定し、施策によって「システム障害による請求の遅延率を下げた」ことを伝えられれば、セキュリティチームのビジネス貢献度は高く評価されるはずだ。
* * *
本稿からダウンロードできる資料では、KRIをさらにSLA(Service Level Agreement:サービスレベル合意書)に落とし込むことの意義や、レポート作成時の確認/注意項目、セキュリティチームのゴールの達成をサポートするソリューションに必要な機能などについてまとめられている。ビジネスにおけるセキュリティチームの価値を証明するためのノウハウとして、ぜひ参考にしていただきたい。
ダウンロード資料のご案内
ホワイトペーパー
「脆弱性管理の価値に対して理解を得るための4つのステップ」
[PR]提供:ラピッドセブン・ジャパン