セキュリティ対策投資の最適化について(3)　〜セキュリティ投資の効果をどう把握するか〜

前回、前々回のコラムでは、セキュリティ対策投資の最適化というテーマに関して業界他社と比較した投資額の指標と、投資の最適配分についてお伝えしてきました。
今回は引き続き同じテーマで、セキュリティ投資の効果についてお伝えします。

セキュリティ対策に限らず、投資した結果の効果については企業として把握する必要がありますが、ことセキュリティに関しては、効果はもとよりセキュリティ対応組織の業績評価(KPI)についても定義しにくいでしょう。

一度でも重大なセキュリティ事故が発生した場合、自社や顧客に与える影響は甚大なので、例えばセキュリティ事故の発生件数や機密情報の漏洩数などを効果の指標にすることは違和感があります。

システムに対する定期的な脆弱性検査の結果や、セキュリティ教育の人数も部分的には効果と言えますが、セキュリティ投資効果の一部でしょう。

今回のコラムでは観点を変え、攻撃者から見た自社のセキュリティレベル(耐性)をスコア化するサービスを利用し、投資効果を可視化する仕組みをお伝えします。

BITSIGHT/ビットサイトで攻撃者から見た自社のセキュリティレベルをスコア化

ご紹介するサービスはBITSIGHT(ビットサイト)というものです。

BITSIGHT
https://www.bitsight.com/

BITSIGHTは2011年に米国ボストンにて設立された会社で、企業を外から監視することでセキュリティレベルを評価し成績付け(スコア化)します。

米国司法省が企業の評価にBITSIGHTで可視化された結果を活用していることでも有名であり、日本国内においても多くの企業が利用しています。

BITSIGHTの画面イメージをいくつか見てみましょう。

BITSIGHT 画面イメージ①

BITSIGHT画面イメージ②

上記の例だと、セキュリティレベルのスコアは600点の企業です。 (最小250点〜最大900点の間で評価されます)

また画面イメージ②のように、スコアの変動を時系列で見る事ができます。また同じ業界内での平均スコアなども確認することができますし、自社のスコアだけなく取引先や関連会社を調査し可視化(スコア化)することも可能です。

最近の自動車業界で発生した、取引先のセキュリティ事故による工場停止など、サプライヤや関連会社のリスクにいかに対応するかがセキュリティ対策の重要なテーマの一つとなっています。

BITSIGHTのスコア判定対象項目

なお、BITSIGHTでは以下の項目でスコア判定します。

(1)Compromised System

• ボットネット感染有無
• 迷惑メール送信有無
• マルウェアサーバ感染有無
• 望ましくない通信の有無
• 乗っ取られた可能性のチェック

(2)Diligence Information

• SPF レコード設定確認
• DKIM レコード設定確認
• TLS/SSL 証明書/ 設定確認
• 不要な通信ポート有無
• Web アプリケーションヘッダーチェック
• パッチ当ての間隔
• セキュアではないシステム有無
• サーバソフトウェアバージョンチェック
• デスクトップ PC ソフトウェアバージョンチェック
• モバイルソフトウェアバージョンチェックDNSSEC レコード設定確認
• モバイルソフトウェアバージョンチェック
• 乗っ取られた可能性のチェック

(3)User Behavior

• ファイル共有
• 既出インシデント情報

また、自社のスコアだけなく取引先や関連会社を調査し可視化(スコア化)することも可能です。
最近の自動車業界で発生した、取引先のセキュリティ事故による工場停止など、サプライヤや関連会社のリスクにいかに対応するかがセキュリティ対策の重要なテーマの一つとなっています。

BITSIGHTのスコアを効果測定の指標として活用

本題のセキュリティ対策の効果に話を戻すと、このBITSIGHTのスコアをセキュリティ投資の効果を確認する指標のひとつとすることはいかがでしょう。

例えば

• 現在500点のスコアを、1年かけて700点にするための対策(投資)を行う
• 750点を維持するための対策(投資)を行う
• 取引先のスコアを常時監視し、600点を下回る場合は改善要求を行う

などが考えられます。

BITSIGHTはあくまで攻撃社(Internet)から見た結果(スコア)なので、内部犯行など自社のセキュリティリスクの全てを可視化できませんが、攻撃の多くは社外からだと想定する場合、このスコアを一定以上に保つことはセキュリティ対応組織の活動の評価として活用できると考えます。

2022.10.11