「損失額を減らすためのサイバーセキュリティのKPI モデル」(試論)
・攻撃を受けた際の適切な手順を習得した人材の数、社内システムへの不正侵入を発見するまでの平均時間、などの47項目のKPIで構成されている
・KPIを達成するとサイバー被害の損失額を軽減できる仕組み。例えば対応手順を習得した人材が多いほど、サイバー被害に遭っても原因の追究やシステム復旧作業が早くなり、それらに発生する費用を抑えられる
・KPIは企業のサイバー対策の成熟度に応じて3段階
・初級は法規制やガイドラインの準拠率を推奨し、上級向けでは取引先への監査の進捗率などの指標を設定し、自社内にとどまらずサプライチェーン(供給網)への監督も推奨する
で、このツールを現実世界でどう活用するのか?ということですが、中身を読んでみるとざっくりとこう書かれてます。
①CISO、セキュリティ部⾨の責任者などが期初の⽬標設定時に、⾃組織の成熟度を設定する(ツール内から選ぶイメージ)
②重点的に取り組むKPIを選択し、経営層の合意を得る
③KPIを達成するための施策を⽴案し、各メンバーやグループ企業などに展開する
④これは書かれてはいませんが、最後はお決まりの「評価&改善的な活動」が必要でしょう
注意するべき点は、このツールのみではKPIを達成するための具体的な施策には言及されていないので、各種ガイドライン等(ISMS、PCIDSSなど)を見ながら施策を考える必要があります!
つまり、このツールの本質は「うちって、どのくらいセキュリティレベルなの?」を評価するためのツールなわけですね( ´艸`!!!
今回は簡単なまとめがメインですので、より詳細を知りたい!という方は以下のURLから原本をみてみると良いかもしれません。