[レポート][MS&ADインターリスク総研株式会社／Kovrr Inc.] サイバーセキュリティリスク定量化とリスクマネジメント – CODE BLUE 2023 #codeblue_jp

CODE BLUE 2023で行われた以下のセッションのレポートです。

[MS&ADインターリスク総研株式会社／Kovrr Inc.] サイバーセキュリティリスク定量化とリスクマネジメント

デジタライゼーションの進展、セキュリティ規制への準拠、クラウドベースのサービスの急速な普及、リモートワークにおける深刻な課題、サプライチェーンに潜む脆弱性の要因など、ありとあらゆる業種において、企業はサイバーリスクの脅威に脅かされています。

これらの問題を解決するために、Kovrrは、サイバーリスク定量化 (CRQ) プラットフォームを提供します。CRQプラットフォームは、財務的に正当化された意思決定を促進する詳細なリスク分析を提供し、企業の意思決定者に、次の事項ができるように支援します。 サイバーリスク軽減対策の優先度と重要度を金額的価値で示し、判断しやすいようにすること サイバーリスクにおける被害発生可能性について同業他社と比較評価すること リスクを金額的に定量化し、サイバー保険やサイバーセキュリティリスク対策にかける投資の際の基準とすること

Kovrrの強力なCRQプラットフォームは、発生しうるケースを一つ一つ積み上げて構築されるデータ駆動型アプローチをとり更新し続けることで、絶えず進化する企業のサイバーリスクを金銭的に定量化しています。CISO、CRO、取締役、投資家などの主要な利害関係者に対し、重大な金融損失可能性を知らせ、また、それを回避するための情報を提供します。

Open Talksでは、以下に焦点を当てて説明します。 - サイバーリスクの定量化実現にあたり関係する方法論 - CRQプラットフォームが提供するデータ - リスク管理に対する定量化されたサイバーリスク結果の適用

Presented by : シャローム・バブリル (Chief Product Officer, Kovrr Inc.)

レポート

• サイバーリスクに関する企業の持つ課題
  • 現在の当社のサイバーリスク対策に抜け・漏れ・課題はないか？
  • 経営課題としてサイバーリスク対策の優先度を高くもってほしい
  • リスクを金額に換算して、経営視点でサイバーリスクを把握したい
    • →どれほどの被害が発生するのかが分からない
• 課題解決へ向けた取り組みとして、セキュリティの可視化・定量化が必要
• MS&ADインターリスク総研は、イスラエルのKOVRR社と提携して課題解決に取り組んでいる
• KOVRR社のサービスについて
  • インシデントによりどのような損害が発生するかを可視化するサービスを提供
  •  デモ
    • 企業情報を定義
      • コンプライアンス準拠状況や組織の成熟度、保険の加入状況などの情報を入力
    • 連携するサービスのベンダを選択
      • 連携したサービスから情報を取得
    • 組織の情報やインフラ構成、利用するクラウドサービスなどを設定
    • セキュリティ管理策の実施状況について入力（手動で回答）
    • 損失に関する情報などを入力
    • 入力した情報をもとに解析
      • 外部の組織の問題により自社が損失が受けるなど、さまざまな事象の発生可能性をシミュレーション
      • 保険会社などの過去の情報をもとに潜在的な損失を計算
    • レポート画面
      • 問題の事象が、いつ起きる確率が高いかをレポート
        • ある事象ごとの発生確率と予測損害額を算出
          • ランサムウェアやサードパーティの影響による損害、データ盗難など
        • 全体的なビジネスリスクの金額感を、ITエキスパートでない役員などにｎ伝えることができる
      • 意思決定を補助するためのレポート
        • 対応すべき（NIST CSFなどの）コントロールの推奨
          • ROIなどを示すことができる
        • 資産グループごとに対応すべきコントロールやアクションの提示
        • どういった点から手をつければよいか、ロードマップを考えることができる
      • 保険を検討するためのリスク移転のレポート
        • リスクごとに必要な限度額を算出、提示
        • どのリスクにどれくらい保険の金額を割り振るかを考えることができる
      • 外部ベンダーのリスク分析
        • ファーストパーティ〜サードパーティを分類できる
        • サードパーティのベンダごとに、そのベンダで問題が発生した場合にどのような影響があるかを提示

• MS&ADインターリスクでは、上記KOVRR社のソリューションを利用しサイバーリスクPML（予想最大損害額）レポートサービスを提供している

感想

• いろいろ入力する必要があるのだな、とは思いましたが、そのぶんさまざまな側面からリスクの発生可能性と損害額を予測してくれるのは良いですね。特に、「どこから手を付けるのが最も効率が良いか」を金額的な効果とともに提示してくれるのは経営陣への説明のためにも良いな、と思いました。