セキュリティレポートの全体像
“セキュリティレポート”。セキュリティ業界に従事されている方であれば、一度は目にしたことがあるかと思います。様々なカンファレンスのプレゼンテーションやホワイトペーパーに数多く引用され、具体的な数値が出ているこれらのレポートは、各組織から多数発刊されています。昨今ではサイバー攻撃の被害が増えていることから、これらのレポート数は年々増えています。
セキュリティレポートは、自組織に影響を及ぼす可能性のある最新脅威情報や、IT資産に見つかっている脆弱性の状況把握など、外部要因を特定するために重要な情報源になります。各種セキュリティガイドラインにおいてもリスクアセスメント活動の一環として、外部の脅威状況の把握が要件として多く書かれていることからも、これらの準拠にも必要な情報収集といえるでしょう。
自組織が必要としている情報収集のためには、適したレポートを見つけ出し、適切な情報収集を行う必要があります。その体系化のために、まずは各組織が発刊しているセキュリティレポートを発刊している組織と内容に分けて整理していきましょう。
レポートの種類・発刊組織
まず組織種別に分けてみると大きく以下の3つに分けられます。
- 政府関係組織
- コンサルティング会社
- セキュリティベンダー
| 組織種別 | 組織例 | レポートタイトル |
| 政府関係組織 |
|
|
| コンサルティング会社 |
|
|
| セキュリティベンダー |
|
|
書かれているレポートの内容と組織種別は、必ずしも一対一の関係にはなっていません。コンサルティング会社に属する企業が発表しているレポートであっても、A社は脅威に特化した内容、B社はインシデントの数や主要製品のサポート終了、地政学的な分析などを含んだ全体的なセキュリティ動向分析を書いている場合もあります。
ひとまずセキュリティレポートを読んでみようという方は、最初の切り口として普段使っているアンチウイルスやファイアーウォールのようなセキュリティベンダーや、自組織が依頼したことのあるコンサルティング会社のレポートを探してみると良いでしょう。発刊していない場合は、その会社の同業他社が発刊しているか探すことで見つけられるはずです。
次にレポートを内容別に分けてみると、以下の5つに分類できます。
- 脅威インテリジェンス
- セキュリティ動向分析/予測
- 脆弱性動向分析
- 実態調査
- 企業セキュリティ報告書
上記で分けたレポートの内容が、一つのレポート内で同時にカバーされているケースも数多くありますし、またレポートタイトルから期待される内容と実際に書かれている中身にギャップが見られる場合もあります。そのため、エグゼクティブサマリーや目次から読もうとしているレポートが、期待した通りの内容のものかを判断する必要があります。
