[eBook] A Step-by-Step Guide to Cyber Risk Assessment
2023/04/11 TheHackerNews — 今日のサイバー・リスクが高まる状況において、CISO と CIO に要求されるのは、ランサムウェア/フィッシング/インフラ攻撃/サプライチェーン侵害/悪意のインサイダーなどからの、容赦ないサイバー脅威から組織を守ることだ。しかし、しれと同時に、セキュリティ・リーダーたちは、コスト削減と賢い投資という、大きなプレッシャーにもさらされている。
CISO や CIO が限られたリソースを最大限に活用して組織を守るために、最も効果的な方法の1つがサイバー・リスク評価の実施である。包括的なサイバー・リスク評価を行うことで、以下のことが可能になる:
- 脆弱性と脅威の特定
- セキュリティ投資の優先順位
- サイバー・セキュリティ成熟度の評価
- サイバー・リスクの経営者への伝達
- サイバー・リスク定量化の根拠の提供
サイバー・セキュリティの最適化プロバイダーである CYE の新しいガイドは、それを実現するための方法を説明している。このガイドでは、サイバー・リスク評価について、いくつかのアプローチを概説し、セキュリティ・リーダーが確かな洞察と推奨事項を得るために必要な、それぞれのステップを説明している。
効果的なサイバー・リスク評価を実施するために
サイバー・リスク評価の実施には、さまざまなアプローチがあり、それぞれに長所と短所が存在する。しかし、いずれのアプローチにおいても、組織のセキュリティ体制とコンプライアンス要件を理解し、脅威/脆弱性/資産に関するデータを収集し、潜在的な攻撃をモデル化し、緩和措置に優先順位をつけることが必要となる。
このガイドによると、効果的なサイバー・リスク評価には、以下の5つのステップが含まれるという:
- 組織のセキュリティ態勢とコンプライアンス要件の理解
- 脅威の特定
- 脆弱性の特定と攻撃経路のマップ
- 攻撃の結果をモデル化する
- 緩和策オプションの優先順位付け
また、サイバー・リスク評価は、サイバー・リスクを定量化する際の基礎となるものであり、サイバー脅威の潜在的なコストと修復のコストに、金銭的な指標を与えるものである。CRQ (Cyber Risk Quantification) は、組織に関連する脅威の中で、最大の脅威をもたらす脆弱性をセキュリティ専門家が特定し、優先順位を決めるのに役立つ。また、CISO が経営陣に対して、サイバー・リスクのコストを伝え、セキュリティ予算を正当化する際にも役立つ。
サイバー・セキュリティのロードマップを作成する
サイバー・リスク評価の実施は、最初の一歩に過ぎない。そして、アセスメントから得られる洞察と推奨事項をもとに、組織のサイバー態勢を段階的に強化するための、ロードマップの作成することになる。続いて、チームは、時間の経過とともにサイバー・レジリエンスを追跡/測定/定量化していくことになる。また、変化し続ける、新たな脅威/ビジネス/組織のテクノロジー/IT アーキテクチャ/セキュリティ管理体制に対応するために、定期的に評価を見直す必要がある。
サイバー・リスクを効果的に評価/定量化/軽減するために、組織は適切なツールやプラットフォームを用意し、定評あるサイバー・セキュリティの専門家による指導や助言を受けることが必要となる。
サイバー・リスクの評価と優先順位付けにより、セキュリティ体制を強化する方法について、また、セキュリティ投資を最適化する方法について詳しく知りたい場合には、このガイドをダウンロードしてほしい。
リスクの定量化という、最も難しいことに挑んでいく人たちのための eBook とのことです。ただし、この記事の参照データとなる、The State of Exposure Management in 2023 は、先ほどの InfoSecurity の「脆弱性の 2%に対処すれば資産の 90%を保護できる:XM Cyber/Cyentia Institute の共同調査」の参照元と、同じレポートとなります。メディアごとも注目点の違いが面白いです。
IoT OT Security News 
You must be logged in to post a comment.