令和6年度中小企業サイバー
セキュリティ社内体制整備事業

0120-138-166

受付時間 9:00〜17:00(平日のみ)

ade.jp.shanaitaisei@jp.adecco.com

サイトマップ
文字サイズ

2-3. サイバーセキュリティアプローチ方法

 サイバーセキュリティの脅威に対処するためには、効果的なサイバーセキュリティ戦略を構築し、段階的なアプローチをとることが必要です。(Lv1.クイックアプローチ、Lv2.ベースラインアプローチ、Lv3.網羅的アプローチ)
自社が直面しているリスク状況および活用できるリソースを考慮し、最適なアプローチ手法を選択します。以下にアプローチ手法を紹介します。

Lv.1 クイックアプローチ
緊急に、大きなセキュリティホールを塞ぐ
実施手法報道されるような事象・セキュリティ脅威に緊急対応します。活用できる文書/ツール名称(例) ・情報セキュリティ10大脅威(出典:IPA)
・情報セキュリティ白書2023(出典:IPA)
サイバー攻撃を受けた組織における対応事例(出典:NISC)
Lv2. ベースラインアプローチ
素早く、多くのセキュリティホールを塞ぐ
実施手法ガイドブック、ひな型を参照し、迅速にセキュリティ対応します。 活用できる文書/ツール名称(例) ・リスク分析シート(出典:IPA)
・セキュリティ関連費用の可視化(出典:IPA)
・中小企業の情報セキュリティ対策ガイドライン第3版(出典:IPA)
Lv3. 網羅的アプローチ
じっくり、小さなセキュリティホールも残さないように塞ぐ
実施手法網羅的なセキュリティ対策が定義されているフレームワークに沿ってセキュリティ対応します。 活用できる文書/ツール名称(例) ISMS(ISO/IEC27001:2022,27002:2022)
NIST サイバーセキュリティフレームワーク(CSF)
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
凡例)「〇:あり / △:部分的にあり / ×:なし」
Lv.1 クイックアプローチ
網羅性:× 即時性:〇
クイックアプローチは、サイバーセキュリティにおける即時の対応や緊急事態への対処に適しています。ただし、長期的な戦略や継続的な改善を妨げることなく、将来的なセキュリティの向上を見据えた計画の策定も必要となります。
・小規模な対策や修正を迅速に実施可能
・低コストでリスクを軽減
・進行中の攻撃へ対応することにより、攻撃の拡大や影響を最小限に抑える
1.脅威の特定 既知の脅威/過去のインシデントに基づいて、リスクの優先度付けを行いリスクを特定します。
2.対応計画既存のセキュリティ対策の評価を行い、改善点を特定し対応計画を立てます。
3.対策の実装必要な設定変更やアップデートの適用、ポリシーや手順の策定、従業員への教育やトレーニング等の対策を実装します。
4.評価・改善実装した対策の評価を行い、継続的な改善を促進します。
Lv2. ベースラインアプローチ
網羅性:◬ 即時性:△
ベースラインアプローチは、セキュリティ対策の基準やガイドラインを定義することにより、組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指します。ただし、追加のセキュリティ対策やリスクに対する適切な対応策を検討し、網羅的なアプローチを推進することが必要となります。
・セキュリティの基準となるベースラインを定義し、組織全体で一貫性を確保
・網羅的なアプローチの出発点
1.ベースラインの定義 セキュリティの基準となるベースラインを定義します。活用できる文書/ツール、内部のセキュリティ目標等に基づいて定義します。
2.現状評価セキュリティポリシーやガイドラインの遵守度に基づき、既存のセキュリティ対策の評価を行います。改善点を特定し対応計画を立てます。
3.ベースラインの適用セキュリティポリシーの策定・改訂、ガイドラインの作成、セキュリティ対策の実装等により、ベースラインを適用します。
4.教育定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。
5.評価・改善実装した対策の評価を行い、継続的な改善を促進します。
One Point
即時性を求める場合には、ベースラインアプローチに加えて、クイックアプローチや緊急対応策等を組み合わせることで、より即時の対策を講じることができます。ただし、ベースラインアプローチは継続的な改善を重視するものであり、セキュリティの長期的な維持と向上に焦点を当てています。
凡例)「〇:あり / △:部分的にあり / ×:なし」
Lv3. 網羅的アプローチ
網羅性:〇 即時性:×
網羅的アプローチは、可能な限り多くの脅威や攻撃手法に対して対策を講じることを目指すアプローチとなります。ただし、全体的な実施には時間がかかるため、即時性を重視するアプローチではありません。
・可能な限り多くの脅威や攻撃手法に対して対策を講じる
・予測できない脅威や新たな攻撃手法に対しても準備ができる状態を維持
1.リスクアセスメント 情報資産を特定し、脅威や脆弱性の評価を実施します。また、リスクの特定と評価を行い、重要度や優先順位を設定します。
2.対応計画リスク評価の結果を基に、セキュリティ対策を設計します。
3.対策の実装組織的な対策(ポリシー、手順整備、教育等)、技術的な対策(アクセス制御暗号化等)を実装します。
4.教育定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。
5.評価・改善実装した対策の評価を行い、継続的な改善を促進します。また、内部監査や定期的な監査を実施し、情報セキュリティ管理システム適合性および妥当性を確認します。

詳細理解のため参考となる文献(参考文献)

  • 情報セキュリティ白書2023
  • 情報セキュリティ10大脅威 2024
  • サイバー攻撃対応事例
  • リスク分析シート
  • セキュリティ関連費用の可視化
  • 中小企業の情報セキュリティ対策ガイドライン第3.1版
  • ISMS適合性評価制度
  • セキュリティ関連NIST文書について
  • サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
  • セキュリティ関連知識の保管庫(ナレッジベース2024)

    • コラム

    “情報セキュリティ”と“サイバーセキュリティ”の違いについて 本テキストでは、“情報セキュリティ”と“サイバーセキュリティ”という言葉が随所に出てきます。そこで、両者の違いを説明します。
    情報セキュリティは、情報全般の保護を意味します。情報の機密性(Confidentiality) 、完全性(Integrity) 、可用性(Availability) を確保するための対策が目的となります(情報セキュリティの3要素「CIA」)。これには、物理的な文書やデータの保管方法、アクセス制御暗号化などが含まれます。情報セキュリティは、デジタルに加えて、紙の文書などの非デジタル情報にも関連しています。また、3要素に加えて、真正性(Authenticity)、責任追跡性(説明責任)(Accountability) 、否認防止性(Non-Repudation) 、信頼性(Reliability) を合わせて情報セキュリティの7要素と呼ぶこともあります。
    一方、サイバーセキュリティは、主にインターネットやコンピュータネットワークに関連するリスクに対処することを目的とします。サイバーセキュリティは、クラッキングマルウェアDDoS攻撃などの脅威から情報システムやネットワークを保護するための技術、ポリシー、手順を包括的に扱います。サイバーセキュリティは、コンピュータシステムやネットワーク上の脆弱性に対処するためのテクニカルなアプローチに重点を置いています。
    要約しますと、情報セキュリティは広範な情報の保護を対象とし、物理的な文書やデジタルデータを含む一般的なセキュリティの概念を指します。一方、サイバーセキュリティは、インターネットやネットワーク上のリスクに対処するためのテクニカルなアプローチを特に重視しています。

    2-2. SECURITY ACTION(セキュリティ対策自己宣言) 3-1. 国の基本方針および実施計画の要約
    目次に戻る
    中小企業向けサイバーセキュリティ対策の極意
    ページトップへ戻る