コンテンツにスキップするには Enter キーを押してください

CSIRPのためのメトリクスの開発とコミュニケーション方法

投稿日 2025年5月16日

Craig Porter、ディレクターアナリスト、ガートナーセキュリティリサーチ&アドバイザリーチーム

2025年5月16日

3分で読めます

ダーツボードのダーツ; 破れた紙にMETRICSと書かれている

出典: Dzmitry Skazau via Alamy Stock Photo

コメント

セキュリティとリスク管理(SRM)のリーダーは、経営陣からの圧力を受けて、セキュリティインシデントが効果的に管理され、企業のパフォーマンスや収益性への影響を最小限に抑えることを求められています。インシデント対応プロセスを品質、速度、労力の観点から評価し、改善を導き、これらの改善の価値をビジネスリーダーに示し、透明性を提供することが重要です。

規制開示要件、プライバシーの懸念、およびセキュリティの失敗に対するビジネスの許容度が増加し変化し続ける中で、SRMリーダーは定量的および定性的な結果指向のメトリクスを開発し生成する必要があります。適切な対象にメトリクスを合わせ、これらのメトリクスをビジネスリーダーに効果的に伝えることが求められます。

これらのメトリクスは、パフォーマンスの基準を確立し、セキュリティ管理を強化する戦略を特定するために重要であり、最終的にはビジネス目標と一致し、成功を確保します。

従来のメトリクスは、インシデント管理戦略の真の効果を評価するよりも速度を優先することが多く、その実際の影響を理解する上でのギャップを残します。これらの問題に対処し、受け入れられる範囲を定義することが、セキュリティインシデント対応の透明性と効果を向上させる鍵です。

関連:Rapid7、企業向けの管理検出&対応(MDR)を開始

セキュリティインシデント対応プロセスは、ビジネスパフォーマンスを向上させるものでなければなりません。これはSRMリーダーにとっての主要な推進力であり、定義されたメトリクスによって大いにサポートされる領域です。彼らは、サポートするビジネスにとって最も重要な問題に注力し、実践が効率的かつ効果的であることを確認しなければなりません。また、目標のパフォーマンスレベルに到達するためにスキル、能力、および/またはツールへの投資が必要かどうかを判断することも重要です。

セキュリティインシデント対応チームは、意思決定と行動において効率(速度)と効果(品質)の両方に集中すべきです。効率のメトリクスはタスクを完了するために必要な時間と労力を見ますが、効果のメトリクスは成果の品質を評価します。

これを行うために、SRMリーダーは包括的な視点を持つ必要があります。つまり、組織の主要なサービスと、サービス提供の主要なパフォーマンス指標の達成をサポートするインシデント対応管理機能の役割を理解する必要があります。組織は、インシデント対応の効果と効率の包括的なビューを提供するために、定性的および定量的なメトリクスの適切で合意されたブレンドをバランスよく取る必要があります。これにより、価値のあるビジネスメトリクスを作成するのに役立ちます。

関連:各国がNATOのロックドシールドサイバー防衛演習を開始

サイバーセキュリティインシデント対応プログラム(CSIRP)の定義と形式化

パフォーマンスの一貫した測定には、明確で定義された一連のアクション、プロセス、および目標が必要です。これが、SRMリーダーが文書化されたサイバーセキュリティインシデント対応プログラム(CSIRP)と責任、期待される成果、優先順位を概説した正式なポリシーを作成すべき理由です。

結果指向のメトリクスの需要にもかかわらず、取締役会や経営陣はセキュリティインシデント対応の実践に対する可視性が限られています。SRMリーダーは、ビジネスリーダーが推奨事項に基づいて行動できるように、メトリクスの設計をビジネス目標に焦点を当てることから始めるべきです。

また、ビジネスの優先順位に基づいてメトリクス自体を優先するべきです。各インシデントタイプについて、トップビジネス優先事項がサポートするCSIRP内の特定のタスクおよびタスクグループの優先順位をどのように決定するかを特定することが重要です。

効率と効果を最適化するために、2つの重要なステップを取ることができます:

  1. 単一のメトリクスを孤立して見ることを避けます。主要および小規模なインシデントのデータを収集し、プロセスの効率、カバレッジのギャップ、またはリソースの必要性を報告します。

  2. ビジネスにとってのメトリクスの完全性と使用可能性を測定します。問題がさらなる明確化なしに解決できることを確保します。これにより、単に速度に焦点を当てるのではなく、対応活動の効果を高めることができます。

関連:TikTok、中国へのEUデータアクセスで5億3000万ユーロの罰金

SRMリーダーは、メトリクスが進化することを考慮しなければなりません。いくつかのメトリクスは短期間で有用であるかもしれませんが、他のメトリクスは永遠に存続するでしょう。そのため、専門家はこれらのメトリクスを時間とともに洗練する準備をしておく必要があります。

最後に、メトリクスには時間とお金の投資が必要です。SRMリーダーがCSIRPのためにメトリクスを選択または開発する際には、各メトリクスの追跡と報告の利点が、それを維持するコストを上回るかどうかを考慮する必要があります。

セキュリティインシデント対応のための明確なメトリクスの開発とコミュニケーションは、SRMリーダーにとって重要です。速度と品質の両方に焦点を当て、これらのメトリクスをビジネス目標と一致させることで、リーダーはセキュリティ対策が全体のビジネスパフォーマンスを向上させることを保証できます。よく文書化されたCSIRPは、情報に基づいた意思決定に必要な透明性を提供し、絶えず変化する脅威環境で組織を保護します。ニーズが進化するにつれて、これらのメトリクスをリーダーシップと管理と定期的に再検討し、検証することで、それらを関連性のある効果的なものに保ちます。

翻訳元: https://www.darkreading.com/cybersecurity-operations/develop-communicate-metrics-csirps

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です