PwCコンサルティング、「サイバーインテリジェンス連動型セキュリティメトリクス実現支援サービス」を提供

　PwCコンサルティング合同会社は12日、「サイバーインテリジェンス連動型セキュリティメトリクス実現支援サービス」の提供開始を発表した。

　サイバーインテリジェンス連動型セキュリティメトリクス実現支援サービスは、PwCコンサルティングと慶應義塾大学との共同研究の、成果の一環として提供するサービス。

　サービスでは、正確にサイバー脅威を把握し、高度なサイバーリスク評価を実現する「サイバーインテリジェンス」と、サイバーインテリジェンスに連動した「セキュリティメトリクス＆ダッシュボード」を提供する。これにより、企業が自社のセキュリティ能力をリアルタイムに正しく認識し、リアルなサイバー脅威に対して高いアジリティをもったセキュリティ態勢の構築を目指す。

　従来のリスクアセスメントによるリスク評価をベースラインとした上で、継続的なサイバーインテリジェンス活動によるアジリティの高いリスク評価を実現。これにより、日々変化するリスクを捉えて、リスク評価結果を迅速に補正する、リスク対応計画を修正する、セキュリティ機器の設定変更・パッチ適用・注意喚起等の必要な措置を直ちに実施する、といった対応を可能にする。

　さらに、組織内外のセキュリティリスクを可視化し、実際の対処につながる解釈を得るための「セキュリティメトリクス＆ダッシュボード」を提供する。

　セキュリティメトリクスは、セキュリティリスクやセキュリティプログラムなど、組織のセキュリティ態勢に関するあらゆる観点をカバーするKPIおよびKRI（Key Risk Indicator：重要リスク指標）群。リスクアペタイト、アタックサーフェース、想定されるセキュリティ侵害のシナリオ、セキュリティ対策の効果とコスト、セキュリティ侵害発生時に想定される被害の内容と大きさなどを、意味のあるまとまりとして定量化。組織のセキュリティ方針や、セキュリティ態勢の成熟度などに応じた基準値を設定することで、各観点の状態が正常（異常）であるかを判別するとともに、複数のKPI・KRIを考え合わせることで課題の真因や効果的な対処につながるヒントを得られる。

　セキュリティメトリクスは、IT機器やアプリケーションのログや業務履歴、運用帳票といった大量の社内情報、社外情報を踏まえたサイバーインテリジェンスから算出される。

　ダッシュボードは、メトリクスやメトリクスをパラメータとするグラフを関係者にリアルタイムに共有することで、セキュリティに関する知識や専門性、果たすべき役割の異なる全ての関係者に共通理解を促す。セキュリティメトリクスとダッシュボードは、アジリティの高いセキュリティマネジメントシステムのエンジンとして、あらゆる情報を集約し、示唆を生み出すことで、迅速な意思決定やコミュニケーションをサポートするとしている。