セキュリティメトリクの定義

One of the other tasks on my preparation checklist involves formatting a Japanese newsletter for two purposes - to announce my new career move, and to send out a monthly digest of seminars in the Tokyo/Osaka area, and a digest of interesting blog items that I archive during a month. I have a couple of English newsletters like this that I read regularly, but nothing in Japanese. So I am either just not connected to the right group that has such a newsletter (not likely at this point) or it does not exist. Of course, abide by all the newsletter and anti-spam rules along the way - previous permission and unsubscribe options. Short of working on the newsletter today, however, I compiled some of the first pages of a Japanese book that I am working on - Security Metrics. Enjoy the following excerpt if you can read Japanese. Also, please excuse the Japanese since it has not been proofed. Will update along the way.

セキュリティメトリクとは、事前に、測定期間と対象となるシステムを決定し、決定済みかつ文書化された測定方法に従って計り、システムやセキュリティ関係の情報を収集、測定して、あるベースラインに比べて、パフォーマンスを報告する指数である。セキュリティメトリクを使用して、あるKPIに基づいて、ゴール、目的を達成するように進んでいるかと判断する。この定義を少し分析すると、下記の物事は事前に決定される：

• 測定期間
  すべての測定結果は一貫した期間を代表する為に、決定されたタイミングと頻度に従って測定を行うことである。


• 対象システム
  言うまでもないかも知れないが、殆どの測定からなるセキュリティメトリクはシステムの関係がある。例えば、ファイアオールの有効性を判断する為には、FWのポリシー表、ログ、そして侵入検知システム（IDS）のスキャン検出事項など集めなければならない。


• 測定方法「決定済みかつ文書化された」というのがキーである。どの方でも初めて測定する場合、測定手続説明書を読んだら適切に情報が収集できるようにしなければならないことである。

メトリクは測定結果そのものではなく、メトリクは複数の測定が関係するケースもある。例えば、ウィルス対策の有効性を評価する為のメトリクは、ウィルス検知システムの正確さである。このメトリクを提示するための情報を集めるには、ウイルス管理システムと障害報告システムの両方からデータを収集しなければならない。

上記の図表のように、メトリクを特定してから、測定方法に関する詳細を決定し、文書化し、各関係者に通達しなければならないことである。組織、場面によって変わることがあるが、関わる部門の合意、協力を集めなければならない。メトリク、当該システム、計る方法等を決定してから、計算が必要となる場合、下記の図表のように、明確に文書で記述しなければ、一環した測定とKPI報告ができない。
上記の図表では、測定とメトリクの相違点を描き、KPIやその他の効率性を報告するような方法に結び付く。