SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

知っているようで知らない、企業・組織が発表するセキュリティレポート活用法

 初めまして。クラロティという、産業用サイバーセキュリティソリューションを提供する企業でAPJセールスソリューションエンジニアを務めています、加藤俊介と申します。セキュリティ業界に従事していれば、一度は目にしたことがあるであろう“セキュリティレポート”。様々な数値や分析結果が各企業や団体から発表され、その数は年々増えています。しかし、そのレポートをどう活用すればいいかわからない、もしくは活用しきれていないという声も耳にします。そこで本記事では、そうしたセキュリティレポートの活用法について、前編・後編にわたって解説。前編記事にあたる本記事では「セキュリティレポートの全体像」と題して、まずは世の中に出回っているセキュリティレポートを発刊している組織と内容ごとに分け、体系的に整理した上で、部門ごとにどう活用できるのか。まとめていきたいと思います。

セキュリティレポートの全体像

 “セキュリティレポート”。セキュリティ業界に従事されている方であれば、一度は目にしたことがあるかと思います。様々なカンファレンスのプレゼンテーションやホワイトペーパーに数多く引用され、具体的な数値が出ているこれらのレポートは、各組織から多数発刊されています。昨今ではサイバー攻撃の被害が増えていることから、これらのレポート数は年々増えています。

 セキュリティレポートは、自組織に影響を及ぼす可能性のある最新脅威情報や、IT資産に見つかっている脆弱性の状況把握など、外部要因を特定するために重要な情報源になります。各種セキュリティガイドラインにおいてもリスクアセスメント活動の一環として、外部の脅威状況の把握が要件として多く書かれていることからも、これらの準拠にも必要な情報収集といえるでしょう。

 自組織が必要としている情報収集のためには、適したレポートを見つけ出し、適切な情報収集を行う必要があります。その体系化のために、まずは各組織が発刊しているセキュリティレポートを発刊している組織と内容に分けて整理していきましょう。

 レポートの種類・発刊組織

 まず組織種別に分けてみると大きく以下の3つに分けられます。

  1. 政府関係組織
  2. コンサルティング会社
  3. セキュリティベンダー
組織種別 組織例 レポートタイトル
政府関係組織
  • 警察庁
  • 内閣サイバーセキュリティセンター(NISC)
  • JPCERT/CC
  • 令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について
  • サイバーセキュリティ2022
  • ICS脆弱性分析レポート
コンサルティング会社
  • デロイトトーマツ
  • アクセンチュア
  • PwC
  • Deloitte Cyber Trends & Intelligence Report 2022
  • Accenture-Cyber-Threat-Intelligence-Report-Vol-2_2021
  • ニューノーマルやDXがもたらした新たなサイバーセキュリティ
セキュリティベンダー
  • Trellix
  • Crowdstrike
  • ESET
  • dvanced Threat Researchレポート
  • 2022 Falcon OverWatch Threat Hunting Report
  • サイバーセキュリティレポート2022上半期

 書かれているレポートの内容と組織種別は、必ずしも一対一の関係にはなっていません。コンサルティング会社に属する企業が発表しているレポートであっても、A社は脅威に特化した内容、B社はインシデントの数や主要製品のサポート終了、地政学的な分析などを含んだ全体的なセキュリティ動向分析を書いている場合もあります。

 ひとまずセキュリティレポートを読んでみようという方は、最初の切り口として普段使っているアンチウイルスやファイアーウォールのようなセキュリティベンダーや、自組織が依頼したことのあるコンサルティング会社のレポートを探してみると良いでしょう。発刊していない場合は、その会社の同業他社が発刊しているか探すことで見つけられるはずです。

 次にレポートを内容別に分けてみると、以下の5つに分類できます。

  1. 脅威インテリジェンス
  2. セキュリティ動向分析/予測
  3. 脆弱性動向分析
  4. 実態調査
  5. 企業セキュリティ報告書

 上記で分けたレポートの内容が、一つのレポート内で同時にカバーされているケースも数多くありますし、またレポートタイトルから期待される内容と実際に書かれている中身にギャップが見られる場合もあります。そのため、エグゼクティブサマリーや目次から読もうとしているレポートが、期待した通りの内容のものかを判断する必要があります。

次のページ
レポートの構成

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加藤 俊介(シュンスケ カトウ)

国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムに係るプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けの...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17465 2023/03/23 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング