初めまして。クラロティという、産業用サイバーセキュリティソリューションを提供する企業でAPJセールスソリューションエンジニアを務めています、加藤俊介と申します。セキュリティ業界に従事していれば、一度は目にしたことがあるであろう“セキュリティレポート”。様々な数値や分析結果が各企業や団体から発表され、その数は年々増えています。しかし、そのレポートをどう活用すればいいかわからない、もしくは活用しきれていないという声も耳にします。そこで本記事では、そうしたセキュリティレポートの活用法について、前編・後編にわたって解説。前編記事にあたる本記事では「セキュリティレポートの全体像」と題して、まずは世の中に出回っているセキュリティレポートを発刊している組織と内容ごとに分け、体系的に整理した上で、部門ごとにどう活用できるのか。まとめていきたいと思います。
セキュリティレポートの全体像
“セキュリティレポート”。セキュリティ業界に従事されている方であれば、一度は目にしたことがあるかと思います。様々なカンファレンスのプレゼンテーションやホワイトペーパーに数多く引用され、具体的な数値が出ているこれらのレポートは、各組織から多数発刊されています。昨今ではサイバー攻撃の被害が増えていることから、これらのレポート数は年々増えています。
セキュリティレポートは、自組織に影響を及ぼす可能性のある最新脅威情報や、IT資産に見つかっている脆弱性の状況把握など、外部要因を特定するために重要な情報源になります。各種セキュリティガイドラインにおいてもリスクアセスメント活動の一環として、外部の脅威状況の把握が要件として多く書かれていることからも、これらの準拠にも必要な情報収集といえるでしょう。
自組織が必要としている情報収集のためには、適したレポートを見つけ出し、適切な情報収集を行う必要があります。その体系化のために、まずは各組織が発刊しているセキュリティレポートを発刊している組織と内容に分けて整理していきましょう。
レポートの種類・発刊組織
まず組織種別に分けてみると大きく以下の3つに分けられます。
- 政府関係組織
- コンサルティング会社
- セキュリティベンダー
| 組織種別 | 組織例 | レポートタイトル |
| 政府関係組織 |
|
|
| コンサルティング会社 |
|
|
| セキュリティベンダー |
|
|
書かれているレポートの内容と組織種別は、必ずしも一対一の関係にはなっていません。コンサルティング会社に属する企業が発表しているレポートであっても、A社は脅威に特化した内容、B社はインシデントの数や主要製品のサポート終了、地政学的な分析などを含んだ全体的なセキュリティ動向分析を書いている場合もあります。
ひとまずセキュリティレポートを読んでみようという方は、最初の切り口として普段使っているアンチウイルスやファイアーウォールのようなセキュリティベンダーや、自組織が依頼したことのあるコンサルティング会社のレポートを探してみると良いでしょう。発刊していない場合は、その会社の同業他社が発刊しているか探すことで見つけられるはずです。
次にレポートを内容別に分けてみると、以下の5つに分類できます。
- 脅威インテリジェンス
- セキュリティ動向分析/予測
- 脆弱性動向分析
- 実態調査
- 企業セキュリティ報告書
上記で分けたレポートの内容が、一つのレポート内で同時にカバーされているケースも数多くありますし、またレポートタイトルから期待される内容と実際に書かれている中身にギャップが見られる場合もあります。そのため、エグゼクティブサマリーや目次から読もうとしているレポートが、期待した通りの内容のものかを判断する必要があります。
この記事は参考になりましたか?
- この記事の著者
-
加藤 俊介(シュンスケ カトウ)
国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムに係るプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けの...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
