サイバー リスク レポート

サイバー リスク レポートは、組織のサイバーセキュリティー リスク、現在のセキュリティー態勢、およびリスク軽減戦略の構造化されたビューを提供します。このレポートを使用して、サイバーセキュリティー リスクとビジネス目標への潜在的な影響に関する明確性、透明性、実用的な洞察を得ます。

このレポートは、サイバーセキュリティーの技術的な運用とビジネス上の意思決定のギャップを埋める戦略的なコミュニケーション ツールとして機能します。これにより、リーダーは情報に基づいたリスクベースの意思決定を行い、サイバーセキュリティーの取り組みをビジネス目標全体に合わせることができます。

カスタマイズ可能なレポート機能を使用して分析ダッシュボードを作成します。ビジュアルとレイアウトを調整し、取締役会での議論の説明文を追加します。また、ダッシュボードを Boards サイトと共有して、Diligent One プラットフォーム内でレポートをシームレスに共有および公開することもできます。

アクティビティ センターでのレポート テンプレートへのアクセス

前提条件:

レポート テンプレートをアクティビティ センターで展開して有効化しておく必要があります。サポートが必要な場合は、カスタマー サクセス マネージャーにお問い合わせください。

アクティビティー センターでレポート テンプレートにアクセスして使用する方法については、「 」を参照してください。

Boards サイトへのダッシュボードの接続

アクティビティ センターのダッシュボードを Boards サイトに接続する方法について詳しくは、 Diligent One: アクティビティ センター ダッシュボードと Boards サイトの接続

ダッシュボードの構造の理解

サイバー リスク レポートは、包括的なサイバー リスクの洞察を提供し、データ駆動型の意思決定を支援するために設計されたいくつかの主要な機能を備えています。ダッシュボードは 6 つのタブで構成される構造になっており、これを使用して説明文を作成し、実績を取締役会に提示することができます。サイバー脅威と脆弱性を示すビジュアルと KPI、組織のサイバーセキュリティー パフォーマンスと改善に関する履歴ビューが含まれます。詳細については、以下の各タブを選択してください。

このタブでは、取締役会レベルの議論に合わせて調整された重要なサイバーセキュリティーの洞察を簡潔にまとめた概要を示します。レポートのその他のセクションから選択された主要なメトリクスと文脈情報を確認できるため、取締役会は明確で焦点を絞ったストーリーに基づいて十分な情報を得たうえで意思決定を行うことができます。

利用可能なビジュアル

このセクションでは、次のビジュアルを利用できます。

エグゼクティブ サマリー

このセクションを使用して、戦略的な文脈を提供し、傾向を強調し、リスク軽減の取り組みを詳細に説明し、管理職の迅速な意思決定を促進します。

脅威の状況

このビジュアルは、現在のサイバーセキュリティーの脅威の状況に関する洞察を提示し、組織が直面している関連する脅威を要約します。

ベンチマーキング

このセクションでは、BitSight などのプラットフォームに基づくサイバーセキュリティー リスク評価に焦点を当て、業界標準との比較を可能にします。

  • BitSight リスク評価BitSight リスク評価は、公開されている情報源から収集されたリアルタイムの客観的かつ非侵入的なデータに基づく、250 から 900 の範囲の数値スコアです。折れ線グラフを使用して、組織のサイバーセキュリティー評価の履歴を表示します。この視覚化により、長期にわたるサイバーセキュリティーの有効性の傾向を追跡できます。
  • NIST サイバー セキュリティー フレームワーク成熟度米国国立標準技術研究所 (NIST) によって開発された成熟度フレームワークは、組織がサイバーセキュリティー リスクを管理および軽減するのに役立つ構造化されたガイドライン、ベスト プラクティス、および標準を提供します。これらの成熟度レベルは「Adhoc」から「Optimized」まであり、初期の非構造化プラクティスから完全に最適化され統合されたサイバーセキュリティー プロセスへの進歩を示しています。

主要リスク

最も差し迫ったサイバーセキュリティー リスクの詳細を取得します。リスクの状況と緩和に必要なアクションが含まれます。

  • サマリー特定された最も重大なリスクとその傾向、および前回のレビュー以降の変更の概要を簡潔に準備します。
  • リスク登録前回のレビュー以降に大幅な変更が見られた重大なリスクを強調します。この表には、重大度、リスク スコアリング係数、および合意されたその他の基準に基づいて重大であると考えられるリスクが含まれています。改善計画、リスクの所有者、リスクに対処するためのタイムラインなどの取り組みが記載されています。
  • 期限超過の重大リスクこのビジュアル表現は、予定通りに完了したリスクと期限超過のリスクを区別する重大リスクの状態を強調します。

インシデント

このセクションでは、報告されたサイバーセキュリティー インシデントの発生頻度と性質を要約し、この情報をわかりやすい形式で提示します。

  • サマリー各四半期に報告された重大インシデントの数と、それらを解決するために実行されたアクションおよび保留中のアクションを要約します。
  • 四半期ごとのインシデント数このグラフは、四半期ごとに記録および報告されたサイバー インシデントの数を示しています。

イニシアチブ

組織のセキュリティー態勢を強化するための、現在進行中または提案中のサイバーセキュリティーの取り組みの詳細を取得します。

  • 完了および結果完了した重要な取り組みとその影響を強調します。
  • 優先順位付け次四半期に優先順位付けされた重要な取り組みまたは戦略的取り組みとその影響を強調します。

このタブは、クイック リファレンスのために、サイバーリスク レポートに含まれるすべての主要な用語、KPI、および技術的概念の定義と説明を提供します。これにより、レポートのほかの部分で使用されている複雑な用語や技術的な用語について、共通のアクセス可能な理解を得ることができ、明確なコミュニケーションとより効果的な意思決定をサポートします。

このセクションでは、次の用語について説明します。

  • 脆弱性管理は、組織のシステム、ネットワーク、ソフトウェアの脆弱性を特定、評価、緩和、監視し、サイバーセキュリティー リスクを軽減することを目的とした予防的なプロセスです。

  • スキャン ツールは、脆弱性を特定し、組織の IT インフラストラクチャ内のセキュリティー リスクを評価するために使用されます。これらのツールは、攻撃者が悪用する可能性のあるセキュリティーの弱点を検出するためのシステムの継続的な監視と分析に役立ちます。

  • 侵入テストは、組織の IT インフラストラクチャの脆弱性、弱点、およびセキュリティー ギャップを特定し、セキュリティー防御の評価や潜在的な攻撃ベクトルの決定、および実際の攻撃者がそれらを悪用する前に組織がリスクを軽減するのを支援します。

  • SIEM(セキュリティー インシデントおよびイベント管理)ソフトウェアは、組織のセキュリティー情報とイベントをリアルタイムで統合します。組織のセキュリティー態勢の包括的なビューを提供することにより、セキュリティー インシデントの特定、管理、および対応において重要な役割を果たします。

  • インシデント管理は、セキュリティー インシデントの影響を最小限に抑え、通常の運用を迅速に回復し、将来の発生を防止するための構造化されたプロセスです。

  • NIST CSF Cyber Security Framework は、サイバー脅威を特定し、保護、検出、および対応し、そこから回復するための構造化されたガイドライン、ベスト プラクティス、および標準を提供するフレームワークです。

このタブは、SOC 2 (System and Organization Controls 2) や HIPAA (Health Insurance Portability and Accountability Act) などの共通フレームワークを参照して、製品またはサービス全体の監査状況を追跡するのに役立ちます。最近の監査結果の概要を取得し、コンプライアンス違反の領域を特定し、チェックに合格した製品またはドメインを確認できます。

利用可能なビジュアル

このセクションでは、次のビジュアルを利用できます。

コンプライアンス/監査

このセクションを使用して、製品またはサービスごとの監査レポートの状況を取得します。

監査レポートの状況(製品/サービスごと)このグラフは、さまざまな製品またはサービスに対する監査の状況を示します。監査された製品またはサービス、SOC2 や HIPAA などのさまざまな監査フレームワーク、およびこれらの監査の状況が示されます。

セキュリティー トレーニング

このセクションを使用して、セキュリティー トレーニング分析を追跡し、セキュリティー認識キャンペーン完了レポートを準備します。

セキュリティー認識キャンペーン完了 このチャートは、セキュリティー認識プログラムの完了を追跡し、義務的または自発的なサイバーセキュリティー トレーニングを完了した従業員または請負業者の割合を示します。

侵入テスト

このセクションを使用して、未解決の特定された問題を重大度別に要約し、高リスクの問題を改善する平均時間を示します。

  • 未解決の特定された問題 - 重大度別 このチャートは、監査またはコンプライアンス チェック中に特定された未解決の問題の強度を示します。重大度は、重大、高、中程度、低のいずれかで測定されます。これは、重大度に応じた問題の割合を理解するのに役立ちます。

  • 高リスクの問題を改善する平均時間 このメトリクスは、監査中に特定された高リスクの問題を改善するのにかかる平均時間を追跡し、重大な脆弱性に対する組織の対応の効率に関する洞察を提供します。

このタブは、組織のインシデント対応計画の堅牢性を示します。定量的なデータに裏付けされ、インシデントの検出、診断、改善、予防に重点を置きます。

利用可能なビジュアル

このセクションでは、次のビジュアルを利用できます。

インシデント管理

このセクションを使用して、組織のサイバーセキュリティー インシデントに著しい特異な増減がある期間を特定、強調、説明します。組織のインシデント管理システムから取得したコメントやデータを含めることができます。

四半期ごとのインシデントの傾向月次、四半期ごと、半年ごとなど、特定の期間に記録されたアラート発生やインシデント数について高レベルメトリクスを取得します。このチャートのリスクは、重大度レベルに基づいて、重大、高、中程度、低の尺度で分類されています。

インシデントの特定

このセクションを使用して、月次、四半期ごと、半年ごとなど、特定の期間に記録されたアラート発生やインシデント数について高レベルメトリクスを取得します。

四半期ごとのインシデントの傾向このチャートは、インシデントを収集ソースに基づいて分類します。このチャートに示されている情報は、次のソースからのものです。

  • 監査]とは、セキュリティー監査中に特定されたインシデントを指します。

  • 継続的な監視]とは、異常やセキュリティー侵害がないかどうか組織のネットワークとシステムを継続的に監視する自動化システムによって特定されたインシデントです。

  • お客様から報告]は、お客様から報告されたインシデントです。セキュリティー インシデントを示す可能性のある問題を経験したお客様からのフィードバックや苦情が含まれます。

  • 従業員から報告]は、従業員によって報告されたインシデントです。従業員は、疑わしい活動や潜在的なセキュリティー侵害に気づき、IT またはセキュリティー チームに報告することがあります。

インシデントの開示

このセクションを使用して、定量的および定性的要因に基づいて重要と見なされるサイバーセキュリティー インシデントを報告および分析します。

8K Disclosure は、SEC(米国証券取引委員会)が要求するレポートです。すべての上場企業は、株主または投資家に影響を与える可能性のある重要なイベントを開示するために、このレポートを提出する必要があります。8K Disclosure の目的は、重要とみなされるサイバーセキュリティー インシデントを含む重要な企業イベントの透明性と適時報告を確保することです。

  • 最終更新]は、企業の開示レポートが更新された最新の日付です。

  • 開示日]は、企業の開示レポートが提出された日付です。

  • 会社]は、開示レポートを提出した企業名を示します。

このタブでは、組織のシステム、ネットワーク、およびソフトウェアの脆弱性を特定、評価、軽減、および監視する積極的なプロセスに焦点を当てています。

利用可能なビジュアル

このセクションでは、次のビジュアルを利用できます。

脆弱性管理

組織内の現在の脆弱性の概要を説明し、リスクの高い資産と即時の対応が必要な重大な脆弱性を強調します。

本番の脆弱性グラフを使用して、未解決の脆弱性と改善済みの脆弱性の割合を示す履歴データを把握し、改善に向けたリソースの割り当てを評価します。赤色の線は未解決の脆弱性を表し、灰色の線は改善済みの脆弱性を表します。

脆弱性に対する応答性

特定された脆弱性に対して組織がどの程度迅速かつ効果的に対応できるかを評価します。

未解決の本番の脆弱性このチャートは、報告された脆弱性の結果への対応に関して組織の応答性レベルに関する洞察を提供します。このチャートには、脆弱性管理ポリシーで定義された SLA に対して測定された平均アクション時間や平均改善時間などのメトリクスが含まれ、応答性を示します。

改善 SLA

SLA の最新情報を提供します。SLA とは、特定された脆弱性に対処し解決するための予想される期間と責任を定義する正式な合意です。

高および重大なインフラストラクチャ脆弱性 - SLA コンプライアンスこのチャートは、リスクの重大度に基づいて、必要な期限までに改善された脆弱性の割合を示します。

このセクションを使用して、ベンダーとサードパーティの情報システムによってもたらされるリスクの評価と管理に焦点を当てます。このセクションでは、これらのリスクを特定する際の組織の進捗状況と、リスクを管理するために取られた措置を評価します。

利用可能なビジュアル

このセクションでは、次のビジュアルを利用できます。

サードパーティとベンダーの分類

提供するサービスの重要性(重大、高、中、低リスクなど)に基づいてベンダーを分類します。この分類は、よりリスクの高い関係を管理する際の労力の優先順位を付けるのに役立ちます。

分類別のベンダーこのビジュアル表現を使用して、ベンダーが組織にもたらすリスクのレベルに基づいてベンダーを分類します。このチャートは、ベンダーを重大、高、中、低リスクなどのカテゴリに分類します。

サードパーティとベンダーのリスク評価

リスク評価 SLA 内のベンダーの数や割合などのメトリクスを含めることにより、サードパーティ ベンダーに関連するリスクを特定します。

リスク評価 SLA 内のベンダーこのチャートを使用して、サードパーティ ベンダーのリスク評価が、合意済みの SLA(サービスレベル契約)のタイムライン内に実施されているかどうかを特定します。SLA により、特に高リスクまたは重大リスクであると特定されたベンダーについて、リスク評価を実施する頻度と期限が決まります。