東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

第3章. サイバーセキュリティの基礎知識

3-4. サイバーセキュリティアプローチ方法

3-4-1. サイバーセキュリティアプローチ方法の概要

サイバーセキュリティの脅威に対処するためには、効果的なサイバーセキュリティ戦略を構築し、段階的なアプローチをとることが必要です。(Lv1. クイックアプローチ / Lv2.ベースラインアプローチ / Lv3. 網羅的アプローチ)
自社が直面しているリスク状況および活用できるリソースを考慮し、最適なアプローチ手法を選択します。以下にアプローチ手法を紹介します。

① 緊急に、大きなセキュリティホールを塞ぐ
Lv.1 クイックアプローチ

実施手法

報道されるような事象・セキュリティ脅威に緊急対応します

活用できる文書/ツール名称(例)

  • 情報セキュリティ10大脅威(出典:IPA)
  • 情報セキュリティ白書2022(出典:IPA)
  • サイバー攻撃を受けた組織における対応事例(出典:NISC)
② 素早く、多くのセキュリティホールを塞ぐ
Lv2. ベースラインアプローチ

実施手法

ガイドブック、ひな形を参照し、迅速にセキュリティ対応します

活用できる文書/ツール名称(例)

  • リスク分析シート(出典:IPA)
  • セキュリティ関連費用の可視化(出典:IPA)
  • 中小企業の情報セキュリティ対策ガイドライン第3版(出典:IPA)
③ じっくり、小さなセキュリティホールも残さないように塞ぐ
Lv3. 網羅的アプローチ

実施手法

網羅的な対策が定義されているフレームワークに沿ってセキュリティ対応します

Lv.1 クイックアプローチ

網羅性:✕ 即時性:◯

凡例)「〇:あり / △:部分的にあり / ×:なし」

クイックアプローチは、サイバーセキュリティにおける即時の対応や緊急事態への対処に適しています。ただし、長期的な戦略や継続的な改善を妨げることなく、将来的なセキュリティの向上を見据えた計画の策定も必要となります。

  • 小規模な対策や修正を迅速に実施可能
  • 低コストでリスクを軽減
  • 進行中の攻撃へ対応することにより、攻撃の拡大や影響を最小限に抑える

1.脅威の特定

既知の脅威/過去のインシデントに基づいて、リスクの優先度付けを行いリスクを特定します。

2.対応計画

既存のセキュリティ対策の評価を行い、改善点を特定し対応計画を立てます。

3.対策の実装

必要な設定変更やアップデートの適用、ポリシーや手順の策定、従業員への教育やトレーニング等の対策を実装します。

4.評価・改善

実装した対策の評価を行い、継続的な改善を促進します。

Lv2. ベースラインアプローチ

網羅性:△ 即時性:△

凡例)「〇:あり / △:部分的にあり / ×:なし」

ベースラインアプローチは、セキュリティ対策の基準やガイドラインを定義することにより、組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指します。ただし、追加のセキュリティ対策やリスクに対する適切な対応策を検討し、網羅的なアプローチを推進することが必要となります。

  • セキュリティの基準となるベースラインを定義し、組織全体で一貫性を確保
  • 網羅的なアプローチの出発点

1.ベースラインの定義

セキュリティの基準となるベースラインを定義します。活用できる文書/ツール、内部のセキュリティ目標等に基づいて定義します。

2.現状評価

セキュリティポリシーやガイドラインの遵守度に基づき、既存のセキュリティ対策の評価を行います。改善点を特定し対応計画を立てます。

3.ベースラインの適用

セキュリティポリシーの策定・改訂、ガイドラインの作成、セキュリティ対策の実装等により、ベースラインを適用します。

4.教育

定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。

5.評価・改善

実装した対策の評価を行い、継続的な改善を促進します。

Lv3. 網羅的アプローチ

網羅性:◯ 即時性:✕

凡例)「〇:あり / △:部分的にあり / ×:なし」

網羅的アプローチは、可能な限り多くの脅威や攻撃手法に対して対策を講じることを目指すアプローチとなります。ただし、全体的な実施には時間がかかるため、即時性を重視するアプローチではありません。

  • 可能な限り多くの脅威や攻撃手法に対して対策を講じる
  • 予測できない脅威や新たな攻撃手法に対しても準備ができる状態を維持

1.リスクアセスメント

情報資産を特定し、脅威や脆弱性の評価を実施します。また、リスクの特定と評価を行い、重要度や優先順位を設定します。

2.対応計画

リスク評価の結果を基に、セキュリティ対策を設計します。

3.対策の実装

組織的な対策(ポリシー、手順整備、教育等)、技術的な対策(アクセス制御、暗号化等)を実装します。

4.教育

定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。

5.評価・改善

実装した対策の評価を行い、継続的な改善を促進します。また、内部監査や定期的な監査を実施し、情報セキュリティ管理システム適合性および妥当性を確認します。

ONE POINT

即時性を求める場合には、ベースラインアプローチに加えて、クイックアプローチや緊急対応策等を組み合わせることで、より即時の対策を講じることができます。ただし、ベースラインアプローチは継続的な改善を重視するものであり、セキュリティの長期的な維持と向上に焦点を当てています。