組織、アセットグループ、リスクシナリオに関する詳細情報を提供し、包括的なCyber Risk Quantification分析を行ってください。
高度なビジネス自己評価は、[Business profile]、[セキュリティ対策]、[Enriched asset groups]、[Risk scenarios]の4つのタブを持つ複数セクションのワークスペースです。タブは任意の順序で完了し、[保存]を使用していつでも進捗を保存できます。各タブには完了率が表示されます。すべてのタブでの完了率が高いほど、リスク定量化結果の信頼性が向上します。分析を実行する準備ができたら、フッターの[リスクを分析して定量化する]をクリックしてください。
アスタリスク (*) が付いているフィールドは必須です。推奨フィールドを入力すると、結果の精度と信頼性が向上します。
Business profile
ビジネスプロファイルタブは、組織のアイデンティティ、財務、労働力、法的責任に関する情報を収集します。より詳細な情報は、定量化されたリスク推定の精度と同業者との比較の関連性を向上させます。
[Business overview]セクションのビジネスプロファイルタブでは、組織のアイデンティティ、所在地、業界プロファイルに関する情報を収集します。
|
フィールド
|
説明
|
|
ビジネス名
|
組織の法的または一般的に使用されるビジネス名。
|
|
Industry *
|
組織を最もよく表す主要な業種。類似の同業組織を見つけ、業界特有の脅威データを分析に適用するために使用されます。
|
|
第二次産業
|
あなたの組織の運営に関連する追加の業種。ピア比較と脅威モデリングの範囲を広げるために使用されます。
|
|
サイズ *
|
組織の従業員総数の範囲。
|
|
ビジネスウェブサイト
|
あなたの組織の公開「About」ページのURL。ピア比較をサポートするために使用されます。
|
|
市、州、郵便番号/郵便コード
|
組織の主要所在地の市、州または県、郵便番号。地域の脅威モデリングとピア比較に使用されます。
|
|
国/地域 *
|
組織が主に活動している国または地域。地域の脅威モデル化と同業者との比較に使用されます。
|
[Workforce]セクションのビジネスプロファイルタブでは、インシデント対応およびサポートチームの規模とコストに関する情報を収集します。
|
フィールド
|
説明
|
|
あなたのインシデント対応チームには何人いますか?
|
セキュリティインシデントの検出、封じ込め、修復を主な役割とする従業員および契約社員の数。重大なインシデント時に動員される全員を含めてください。セキュリティオペレーションセンター
(SOC) の組織図、オンコールスケジュール、またはインシデント対応Playbookでインシデント対応チームの人数を確認してください。
|
|
インシデント対応チームメンバー1人あたりの平均日次コスト
|
インシデント対応チームメンバー1人あたりの平均総日次費用には、給与、福利厚生、間接費が含まれます。チームメンバー1人あたりの年間費用を260営業日で割ることで、日次費用を見積もることができます。
|
|
あなたのサポートチームには何人いますか?
|
ITサービスの復旧とインシデント時のユーザサポートを担当する従業員および契約者の数。ただし、インシデント対応チームにすでに含まれているセキュリティ調査員は除く。
|
|
サポートチームメンバー1人あたりの平均日次コスト
|
サポートチームメンバー1人あたりの平均1日あたりの総コスト (給与、福利厚生、諸経費を含む)。年間コストを260営業日で割ることで、1日あたりのコストを見積もることができます。
|
[ファイナンス]セクションのビジネスプロファイルタブでは、組織の収益とセキュリティ関連の支出に関する情報を収集します。
|
フィールド
|
説明
|
|
昨年の総収益 *
|
組織の最新の会計年度における総収益。年間収益の割合として金銭的リスクを計算し、財務損失を推定するための基礎として使用されます。最新の年次報告書、監査済み財務諸表、または内部損益計算書で総収益額を確認してください。
|
|
年間収益のうち危機管理と評判管理に使用される割合
|
年間収益のうち、危機コミュニケーション計画、対応、復旧のために予算化された部分。コミュニケーションまたはPR予算、PR代理店契約、またはマーケティング予算でその数値を見つけてください。危機コミュニケーションの支出は、通常、全体のマーケティング予算の割合として表されます。
|
|
年間収益に対する訴訟または法的費用に費やした割合
|
年間収益のうち、外部弁護士費用、裁判費用、和解金、法律顧問料を含む継続的な法的費用に使用される部分。法務部門の予算、法務および専門費用の一般勘定元帳、または外部弁護士の請求書でその数値を見つけてください。ほとんどの組織では、年間収益の0.1%から1%が一般的な範囲です。
|
|
年間収益に対するサイバーセキュリティ保護への支出割合
|
年間収益のうち、サイバーセキュリティに割り当てられた部分には、ツール、スタッフ、サービスが含まれます。セキュリティ予算や支出記録、ITまたはセキュリティコストセンターの報告書、年間予算または財務報告書でその数値を確認してください。
|
|
セキュリティインシデント後に通知を送信する際の影響を受けた人1人あたりの平均コスト
|
セキュリティインシデント後に影響を受けた各個人 (顧客、従業員、ベンダーを含む) に通知するための平均的な通信および管理コスト。違反対応文書、サイバー保険ポリシーガイダンス、または通知ベンダーの提案でその数値を見つけてください。通知方法によって1人当たりのコストは異なり、メールのみの通知が最も低く、クレジット監視サービスが最も高くなります。
|
[Legal and liability]セクションのビジネスプロファイルタブでは、組織の市場状況と規制遵守に関する情報を収集します。
|
フィールド
|
説明
|
|
あなたの会社はどの証券取引所に上場していますか?
|
会社の株式が上場されている公開株式市場。公開企業は通常、セキュリティインシデント後に追加の報告義務を負うことがあり、関連コストが増加する可能性があります。会社が子会社である場合は、親会社が上場されている市場を選択してください。会社または親会社が非公開の場合は[どれにもあてはまらない]を選択してください。
|
|
ティッカーシンボルは何ですか?
|
あなたの会社の株式ティッカーシンボル。[どれにもあてはまらない]以外の証券取引所が選択された場合に表示されます。
|
|
貴社は通常、サイバーセキュリティインシデント対応に関する規制ガイダンスに準拠していますか?
|
あなたの組織が、サイバーセキュリティインシデントの管理に関する規制要件と推奨される実践を遵守しているかどうか、必要な期間内にインシデントを報告し、ログとデジタルエビデンスを保持し、義務付けられた管理措置を採用しているかどうかを確認してください。インシデント対応ポリシー、規制コンプライアンスレポート、またはガバナンス、リスク、コンプライアンス文書で答えを見つけてください。
|
セキュリティ対策
セキュリティプラクティスタブは、組織が実施したセキュリティコントロールに関する情報をコントロールファミリーごとに収集します。回答は、組織のセキュリティ露出を評価し、各シナリオの財務リスクを推定するために使用されます。
質問は2つのグループに分類されています。
-
Answerable by connected data sources: 該当するデータソースが接続され、分析が実行されると自動的に完了します。
-
Manual answer required: 手動で回答する必要があります。
 |
重要接続されたデータソースが質問に対する回答を提供すると、そのデータソースの値は以前に入力された手動の回答を置き換えます。
|
各セキュリティコントロールについて、組織の現在の実践を最もよく表す実装レベルを選択してください。コントロールファミリーの完全なリスト、含まれるコントロール、およびファミリー固有のレベルの説明については、セキュリティ実践実装レベルを参照してください。
|
レベル
|
説明
|
|
1 - 不完全
|
関連するセキュリティコントロールがほとんど、または全く導入されていません。
|
|
2 - 基本
|
基本的な手順または限定的な範囲で実施されている関連するセキュリティ管理。
|
|
3 - 機能
|
関連するセキュリティ管理は世界的に確立されていますが、必ずしも一貫して施行されているわけではありません。
|
|
4 - 包括的
|
関連するセキュリティコントロールは、グローバルに実施および監視されています。
|
|
5 - 上級
|
ビジネス運営に完全統合された動的でプロアクティブなセキュリティコントロール。
|
Enriched asset groups
拡張アセットグループタブでは、特定のアセットグループに詳細なコンテキストを提供して、リスク推定の精度を向上させることができます。[Whole organization]グループは常に存在し、組織内のすべてのアセットを表します。[Add enriched asset group]をクリックして、定義したアセットグループに基づいて追加のグループを構成します。構成された拡張アセットグループは、リスクシナリオタブで選択可能です。
各強化されたアセットグループには2つのタブがあります:
-
Asset group profile: グループに特有の財務、労働力、負債、機密データ情報を収集します。
-
Asset group security practices: グローバルセキュリティプラクティスタブと同じセキュリティコントロール質問が含まれていますが、回答は選択されたアセットグループにのみ適用されます。
[Asset group profile] タブでは、以下のフィールドが利用可能です。
[Asset group overview]セクションは、選択されたアセットグループの財務および負債情報を収集するアセットグループプロファイルタブです。
|
フィールド
|
説明
|
|
アセットグループ内のアセットの総価値
|
アセットグループ内のハードウェア、ソフトウェア、および主要ライセンスの総貨幣価値。セキュリティインシデントが発生した場合の潜在的な交換および回復コストを推定するために使用されます。ハードウェアの場合、デバイス数に平均単価を掛けます。クラウドまたはソフトウェアベースのグループの場合、年間のクラウドおよびライセンスコストの合計を使用します。
|
|
このアセットグループによって提供されるサービスに依存する年間収益の推定割合
|
アセットグループによって提供されるサービスに依存する年間収益の推定部分。他のアセットグループも同じサービスを提供している場合は、過大評価を避けるためにこのグループの推定シェアのみを指定してください。
|
|
このアセットグループのサービスに依存している契約ビジネスパートナーの数
|
アセットグループによって提供されるサービスが利用できなくなった場合、サービスレベル契約やペナルティの対象となる外部ビジネスパートナー。契約リポジトリ、ベンダー管理システム、または顧客関係管理記録でその数値を見つけてください。
|
|
このアセットグループのサービスが失敗した場合に契約されたビジネスパートナーごとに発生する平均ペナルティまたはサービスCredits
|
アセットグループがサービスの提供に失敗した場合に、各契約ビジネスパートナーに対して支払われる平均的な財務ペナルティまたはサービスCredits。これには、サービスレベル契約のペナルティや損害賠償が含まれます。契約上のペナルティが適用されない場合は、ゼロを指定してください。契約リポジトリまたはサービスレベル契約の文書でその数値を確認してください。
|
アセットグループプロファイルタブの[Sensitive data information]セクションでは、選択したアセットグループで保存または処理される機密データレコードのボリュームを収集します。
|
フィールド
|
説明
|
|
このアセットグループで保存または処理されている個人の識別可能な情報 (PII) レコードの人数
|
アセットグループに保存または処理されている、名前、住所、識別番号などの個人識別情報を持つ個人の数。顧客、従業員、応募者、および識別可能な人物に関連するユーザを含めます。データ分類記録、損失防止システムレポート、または顧客および労働力管理システムの記録でその数値を見つけてください。
|
|
このアセットグループで保管または処理されている保護された健康情報 (PHI) 記録の個人の数
|
保護された健康情報がアセットグループに保存または処理されている個人の数。保護された健康情報には、臨床医療記録だけでなく、予約、請求、メンバーIDなどの健康関連データも含まれます。組織が保護された健康情報を扱わない場合は、ゼロを指定してください。
|
|
このアセットグループで保存または処理される支払いカード業界 (PCI) カード所有者の記録数
|
アセットグループに保存または処理されている、カード番号や関連データを含む支払いカードホルダーの記録数。完全にアウトソースされた支払いページのように、支払いカードデータが決して保存または処理されないシステムは除外してください。支払い処理業者のレポートやPCIスコープの文書でその数値を確認してください。
|
|
このアセットグループで保存または処理されている他の機密データレコードの数
|
アセットグループで保存または処理されているPII、PHI、またはPCIカテゴリに含まれない機密データレコードの数。営業秘密、ソースコード、機密契約書、財務諸表、内部戦略文書を含みます。データ分類記録で機密、制限付き、または同等の機密性ラベルが付けられたレコードをカウントします。
|
アセットグループプロファイルタブの[Finance and workforce]セクションでは、選択したアセットグループの労働力の規模とコスト情報を収集します。
|
フィールド
|
説明
|
|
このアセットグループに依存して業務を行う従業員は何人ですか?
|
アセットグループ内のシステムやサービスに日々の業務が依存している従業員または契約者の数。サービスカタログ、Identity and Access Managementの記録、または人員数の記録で数値を確認してください。
|
|
このアセットグループに依存する従業員1人あたりの1日あたりの金銭的コスト
|
アセットグループに依存する従業員1人あたりの平均総日次コストには、給与、福利厚生、間接費が含まれます。年間コストを260営業日で割ることで、1日あたりのコストを見積もります。
|
Risk scenarios
リスクシナリオタブには、すべての有効なリスクシナリオが表示されます。[Manage scenarios]をクリックして、有効にするシナリオを選択します。フィルタタブをクリックするか、検索フィールドを使用して特定のシナリオを見つけます。利用可能なすべてのシナリオの説明については、Cyber Risk Quantificationリスクシナリオを参照してください。
有効化された各シナリオについて:
-
分析に含めるために、1つ以上の強化されたアセットグループを割り当ててください。分析を実行するには、少なくとも1つの強化されたアセットグループを割り当てる必要があります。
-
攻撃結果アンケートに回答してください。質問は同じ攻撃結果タイプのすべてのシナリオに適用されるため、一度回答すれば関連するすべてのシナリオを網羅します。
以下の攻撃結果に関する質問が含まれています:
|
質問
|
説明
|
|
[攻撃結果]が昨年あなたのビジネスに影響を与えた回数は何回ですか?
|
過去12か月間に、指定された攻撃結果によって組織に影響を与えた確認済みまたは強く疑われるインシデントの数。攻撃結果が発生していない場合はゼロを指定してください。インシデント追跡システム、Case
Management記録、またはインシデント対応レポートで数値を確認してください。
|
|
インシデントごとに影響を受けたアセットの平均数
|
デバイスやアカウントを含むアセットの平均数、侵害されたか封じ込めが必要なインシデントごとに表示されます。少なくとも1件のインシデントが発生した場合に表示されます。すべてのインシデントにおける影響を受けたアセットの総数をインシデント数で割って平均を計算します。
|
|
インシデントごとの平均損失収益
|
1件以上のインシデントが発生した場合に表示される、売上損失、請求遅延、サービス中断コストを含むインシデントごとの平均収益損失。
|
|
インシデントごとの平均回復日数
|
インシデント後に通常の運用を復旧するまでの平均時間。少なくとも1件のインシデントが発生した場合に表示されます。インシデント対応記録またはITサービス管理記録で数値を確認してください。
|
|
ビジネスパートナーごとのインシデントあたりの平均サポート日数
|
サポートチームが各影響を受けたベンダー、顧客、またはディストリビューターに対して、1件のインシデントごとにコミュニケーション、調整、技術支援に費やした平均日数。少なくとも1件のインシデントが発生した場合に表示されます。サポート時間が時間単位で記録されている場合は、8で割って日数に変換し、影響を受けたパートナーの数で割ってパートナーごとの平均を求めます。
|
|
ランサムウェアインシデントごとの平均身代金支払い額
|
ランサムウェアのインシデントごとに脅威アクターに支払われた平均額 (身代金が支払われなかったインシデントを含む)。身代金が一度も支払われていない場合はゼロを指定してください。ランサムウェア攻撃の結果タイプにのみ表示されます。法的記録、サイバー保険の記録、またはインシデント対応報告書でその数値を確認してください。
|
|
データ流出事件後にビジネスパートナーがビジネスを終了または縮小したことによる平均収益損失
|
データ流出事件の後にビジネスパートナーがビジネス関係を終了または大幅に縮小した際に失われる平均収益。セキュリティインシデントによって直接引き起こされたパートナーの損失が発生していない場合はゼロを指定してください。データ流出攻撃の結果タイプにのみ表示されます。
|
|
データ流出保護に関する年間予算支出
|
データ流出を特に対象としたセキュリティコントロール、監視、および防止策の年間予算には、情報漏えい対策、エンドポイント検出、メールまたはウェブゲートウェイなどのツールが含まれます。これはデータ流出攻撃の結果タイプにのみ表示されます。ツールが複数の目的に使用される場合は、主にデータ流出防止に使用される部分を見積もってください。
|