ストーリー
田
田中VPoE
セキュリティパイプライン、シークレット管理、ID管理基盤の設計が終わった。最後のテーマは「セキュリティメトリクス」だ
あなた
メトリクスですか。SREのSLI/SLOのようなものですか?
あ
田
田中VPoE
近い。SREが信頼性を計測するようにセキュリティも計測する。「うちのセキュリティは万全です」では経営層は判断できない。「MTTR(修正時間)は48時間以内、SAST検出率は95%、コンプライアンス準拠率は98%」と数字で示す
あなた
計測できないものは改善できない、ということですね
あ
田
田中VPoE
その通り。さらにメトリクスは「セキュリティチームの仕事を可視化する」効果もある。セキュリティの仕事は「何も起きないこと」が成果だから、メトリクスなしでは誰にも評価されない
セキュリティメトリクスの分類
4つのカテゴリ
| カテゴリ | 目的 | 対象 |
|---|---|---|
| 脆弱性管理メトリクス | 脆弱性の検出・修正の効率を測る | SAST/DAST/SCA |
| インシデント対応メトリクス | セキュリティ事象への対応速度を測る | SOC/CSIRT |
| プロセスメトリクス | セキュリティプロセスの成熟度を測る | DevSecOps |
| コンプライアンスメトリクス | 規制基準への準拠状況を測る | 監査/GRC |
脆弱性管理メトリクス
コアメトリクス
| メトリクス | 定義 | 計算式 | 目標値 |
|---|---|---|---|
| MTTR(Mean Time to Remediate) | 脆弱性の検出から修正までの平均時間 | Σ(修正完了日 - 検出日) / 脆弱性数 | Critical: 24h, High: 7d |
| 検出率 | 実際の脆弱性のうちツールが検出した割合 | 検出数 / (検出数 + 未検出数) | 80%以上 |
| 誤検知率 | 検出結果のうち誤検知の割合 | 誤検知数 / 総検出数 | 20%以下 |
| オープン脆弱性数 | 未修正の脆弱性の数 | 累計検出 - 累計修正 - 受容 | 減少トレンド |
| SLAブリーチ率 | 修正期限を超過した脆弱性の割合 | 超過数 / 対応対象数 | 5%以下 |
| 再発率 | 一度修正した脆弱性カテゴリが再度検出される割合 | 再発数 / 修正済み数 | 10%以下 |
深刻度別のMTTR目標
| 深刻度 | MTTR目標 | エスカレーション |
|---|---|---|
| Critical(CVSS 9.0+) | 24時間以内 | 4時間後にセキュリティマネージャー |
| High(CVSS 7.0-8.9) | 7日以内 | 3日後にセキュリティリード |
| Medium(CVSS 4.0-6.9) | 30日以内 | 14日後にチームリード |
| Low(CVSS 0.1-3.9) | 90日以内 | 60日後にレポート |
脆弱性のトレンド分析
脆弱性トレンドダッシュボード:
月次トレンド(例):
新規検出 修正完了 オープン
1月: 45 38 120
2月: 52 55 117
3月: 38 48 107
4月: 41 52 96
5月: 35 45 86
分析ポイント:
├── オープン脆弱性が減少トレンド → 改善中
├── 新規検出が減少 → コード品質の向上 or 検出ルールの見直し必要
├── 修正完了 > 新規検出 → 「負債」が減っている
└── MTTR のトレンド → 対応速度の改善/悪化インシデント対応メトリクス
| メトリクス | 定義 | 目標値 |
|---|---|---|
| MTTD(Mean Time to Detect) | 攻撃やインシデントの発生から検出までの時間 | 1時間以内 |
| MTTC(Mean Time to Contain) | 検出から封じ込めまでの時間 | 4時間以内 |
| MTTR(Mean Time to Recover) | 封じ込めから完全復旧までの時間 | 24時間以内 |
| インシデント発生件数 | セキュリティインシデントの月次件数 | 減少トレンド |
| エスカレーション率 | Tier 1で解決できずTier 2以上にエスカレーションした割合 | 30%以下 |
インシデント対応タイムライン:
[攻撃開始] ──── MTTD ────→ [検出]
│
MTTC │
│
[封じ込め]
│
MTTR │
│
[復旧完了]
目標: MTTD + MTTC + MTTR < 29時間(Critical)プロセスメトリクス
| メトリクス | 定義 | 目標値 |
|---|---|---|
| SASTカバレッジ | SASTスキャン対象のリポジトリ割合 | 100% |
| DASTカバレッジ | DASTスキャン対象のAPIエンドポイント割合 | 95%以上 |
| SCAカバレッジ | SCAスキャン対象のプロジェクト割合 | 100% |
| シークレットスキャンカバレッジ | プリコミットフック導入済みリポジトリ割合 | 100% |
| セキュリティレビュー完了率 | 設計レビューを受けた新規機能の割合 | 100%(重要機能) |
| セキュリティトレーニング完了率 | セキュリティ研修を完了した開発者の割合 | 95%以上 |
| パッチ適用率 | 公開から30日以内にパッチ適用された割合 | 95%以上 |
コンプライアンスメトリクス
| メトリクス | 定義 | 対応基準 | 目標値 |
|---|---|---|---|
| コンプライアンス準拠率 | 自動チェック通過率 | SOC 2, PCI-DSS | 95%以上 |
| ポリシー違反件数 | OPA等のポリシー違反数 | 全基準 | 減少トレンド |
| アクセスレビュー完了率 | 四半期ごとの権限棚卸し実施率 | SOC 2 CC6.2 | 100% |
| 暗号化カバレッジ | 暗号化済みデータストア割合 | PCI-DSS 3.4 | 100% |
| 監査ログカバレッジ | ログ収集対象のシステム割合 | SOC 2 CC7.2 | 100% |
「メトリクスは経営層への報告のためだけではない。セキュリティチーム自身が改善すべきポイントを見つけるためのツールだ」 — 田中VPoE
まとめ
| ポイント | 内容 |
|---|---|
| 4つのカテゴリ | 脆弱性管理、インシデント対応、プロセス、コンプライアンス |
| コアメトリクス | MTTR、検出率、誤検知率、オープン脆弱性数、SLAブリーチ率 |
| インシデント対応 | MTTD + MTTC + MTTR で対応速度を計測 |
| トレンド分析 | 単一の数値ではなく、時系列での改善/悪化を追跡する |
チェックリスト
- 4つのメトリクスカテゴリを説明できる
- MTTR、MTTD等のコアメトリクスを定義できる
- 深刻度別のSLA目標を設定できる
- メトリクスのトレンド分析の重要性を理解した
次のステップへ
次は「セキュリティダッシュボード」を学びます。メトリクスを可視化し、経営層やチームに共有するダッシュボードの設計方法を身につけましょう。
推定読了時間: 30分