読み解くのに気力と体力が必要なセキュリティレポート ポイントを絞り、効率よく取捨選択するには
OT/IoT系のセキュリティレポートから見る、欲しい情報を取得・分類する方法
前回の記事では「セキュリティレポートの全体像」と題して、まずは世の中に出回っているセキュリティレポートを発刊している組織と内容ごとに分け、体系的に整理した上で、部門ごとにどう活用できるのかをまとめていきました。今回は弊社が2023年2月15日に発刊した『State of XIoT Security: 2H 2022』をレポートの題材として、実際に読み解いていきたいと思います。
見出しから、自分のほしい情報に注目する
前回の記事ではレポートの種類を5つに分類してみました。今回取り上げるレポートは、その中でも「脆弱性動向分析」に該当するレポートです。弊社のレポート『State of XIoT Security: 2H 2022』の最初にある目次(Table of contents)を引用しながら、まず全体像について把握してみましょう。
- EXECUTIVE SUMMERY(サマリ)
- INTRODUCTION(イントロ)
- TEAM82(クラロティの研究機関Team82による成果)
- XIOT VULNERABILITY ASSESSMENTS(XIoTの脆弱性評価結果)
- IMPACT(影響)
- MITIGATIONS/REMEDIATIONS(緩和と修復)
- TRENDS TO WATCH IN 2023(2023年のトレンド予測)
- RECOMMENDATIONS(推奨事項)
- ABOUT THE STATE OF XIOT SECURITY REPORT(このレポートについて)
項目の9番目「このレポートについて」は、読もうとしているレポートの正体を把握するための項目であり、このレポートの目的やどのような組織が書いているかを知ることができます。
脆弱性レポートの大まかな構成としては以下の表のような構成になっていることが多く、今回のレポートに含まれる内容を分類していくと次のようになります。
|
エグゼクティブサマリー |
1.EXECUTIVE SUMMERY(サマリ) |
|
脆弱性の 調査統計 |
2.INTRODUCTION(イントロ) 3.TEAM82(クラロティの研究機関Team82による成果) 4.XIOT VULNERABILITY ASSESSMENTS(XIoTの脆弱性評価結果) 5.IMPACT(影響) 6.MITIGATIONS/REMEDIATIONS(緩和と修復) |
| インサイト | 7.TRENDS TO WATCH IN 2023 (2023年のトレンド予測 |
| まとめ |
8.RECOMMENDATIONS(推奨事項) |
項目9については、レポートの趣旨を説明するための補足項目として捉えられるため、この関連付けからは外しています。なお今回のこのレポートのまとめとしては、以下のことが読み取れます。
- XIoTベンダー自身によるセキュリティ・安全性評価が活発になっている
- 脆弱性のうち62%はパデューモデルレベル3のデバイスに関連している
- 脆弱性のうち71%はスコアが「重要」または「高」と評価されている
- 脆弱性のうち63%はネットワーク経由のリモート攻撃を可能にする
アウトプットありきで読むとサマリーを読んでいる時に情報を拾いやすくなるため、事前に「このレポートのサマリーから、3つのポイントを書き出そう」などといった目標を定めることが重要です。その上で、まとめからより詳細の内容を知りたい場合は、該当するセクションに読み進めるとより理解が深まるでしょう。
この記事は参考になりましたか?
- この記事の著者
-
加藤 俊介(シュンスケ カトウ)
国内大手化学メーカーにて計装機器・制御システム設計エンジニアとして3年、海外大手制御機器メーカーにて安全計装システムのエンジニアとして4年、国内外の産業システムに係るプロジェクトに従事。また2021年8月から産業サイバーセキュリティのプロジェクトも担当。2022年5月から現職。製造業、医療業界向けの...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
