情報セキュリティにおけるセキュリティメトリクス管理とは何ですか？

情報セキュリティメトリクスは、明確な情報セキュリティプロセスの状態を追跡および評価できる指標です。メトリックは、定量化可能な手順に基づくディメンションのシステムを定義します。

優れた指標とは、エレガントな指標、つまり、具体的で、定量化可能で、達成可能で、再現可能で、時間に依存する指標です。ディメンションは、明確な個別要素の個々の時点のビジョンを提供しますが、メトリックは、時間の経過とともに取得された複数のディメンションを事前に設定されたベースラインに分析することによって得られます。ディメンションはカウントによって作成され、メトリックは分析から作成されます。

あるいは、ディメンションは客観的な生の情報であり、メトリックはそれらのデータの客観的または主観的な人間の説明です。採用される次元の方法は再現可能でなければならず、異なる有能な評価者によって別々に実行されたときに同じ結果を達成する必要があります。

ソフトウェアメトリクスは、意思決定をサポートし、関連するパフォーマンス関連データの設定、分析、および文書化中にパフォーマンスと説明責任を回復するように設計されたツールです。

パフォーマンスを測定するポイントは、考慮されたアクティビティのステータスを考慮し、観察されたディメンションに基づいて、対抗アクションを使用することによってそれらのアクティビティの改善を促進することです。 「メトリクス」や「メジャー」など、より包括的で集約された要素にいくつかの用語を使用する場合もありますが、このファイルはこれらのメソッドに互換的にアクセスします。

測定値は、特定の個別要素の単一ポイントインタイムビューを提供しますが、メトリックは、時間の経過とともに取得された2つ以上のディメンションの固定ベースラインと比較することによって変更されます。測定値はカウントによって生成され、メトリックは分析から生成されます。あるいは、測定値は客観的な生の情報であり、測定基準はそれらのデータの客観的または偏った人間の説明です。

情報システムのセキュリティの場合、手順は、セキュリティを提供するシステムの要素に関連しています。つまり、セキュリティメトリックを使用すると、定量化可能なセキュリティプロパティを持つシステムの複数のエンティティにディメンションの方法を適用して、測定値を取得できます。

メトリックは、定義されたメトリックデータベースに蓄積された結果を生成します。このデータベースは、標準のSQLおよびJDBCインターフェイスを介して使用でき、次の機能を支援します-

リスク管理 −脅威の確率、感受性、対抗策の適用範囲、および資産価値を計算するメトリックは、リスクのモデル化に使用できる結果を延期します。

予算管理 −労力、影響、および取得可能性のレベルを決定するメトリックは、予算を設定し、投資収益率を計算するために、ドルコストに変更できます。

監査およびコンプライアンス評価（内部または外部） −個々の説明グループのポリシーコンプライアンスを計算するメトリックは、コンプライアンスツールによって生成されるレポートを改善できる結果を降伏させます。

セキュリティ運用 −時間の経過とともにデータを収集するメトリックを使用して、データセンター機能スタッフが実行する特定のアクションを示唆する傾向を特定できます。