令和５年度中⼩企業サイバー
セキュリティ対策継続支援事業

網羅性：✕　即時性：◯

凡例）「〇:あり / △：部分的にあり / ×:なし」

クイックアプローチは、サイバーセキュリティにおける即時の対応や緊急事態への対処に適しています。ただし、長期的な戦略や継続的な改善を妨げることなく、将来的なセキュリティの向上を見据えた計画の策定も必要となります。

• 小規模な対策や修正を迅速に実施可能
• 低コストでリスクを軽減
• 進行中の攻撃へ対応することにより、攻撃の拡大や影響を最小限に抑える

1．脅威の特定

既知の脅威/過去のインシデントに基づいて、リスクの優先度付けを行いリスクを特定します。

2．対応計画

既存のセキュリティ対策の評価を行い、改善点を特定し対応計画を立てます。

3．対策の実装

必要な設定変更やアップデートの適用、ポリシーや手順の策定、従業員への教育やトレーニングなどの対策を実装します。

4．評価・改善

実装した対策の評価を行い、継続的な改善を促進します。

網羅性：△　即時性：△

凡例）「〇:あり / △：部分的にあり / ×:なし」

ベースラインアプローチは、セキュリティ対策の基準やガイドラインを定義することにより、組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指します。ただし、追加のセキュリティ対策やリスクに対する適切な対応策を検討し、網羅的なアプローチを推進することが必要となります。

• セキュリティの基準となるベースラインを定義し、組織全体で一貫性を確保
• 網羅的なアプローチの出発点

1．ベースラインの定義

セキュリティの基準となるベースラインを定義します。活用できる文書/ツール、内部のセキュリティ目標などに基づいて定義します。

2．現状評価

セキュリティポリシーやガイドラインの遵守度に基づき、既存のセキュリティ対策の評価を行います。改善点を特定し対応計画を立てます。

3．ベースラインの適用

セキュリティポリシーの策定・改訂、ガイドラインの作成、セキュリティ対策の実装などにより、ベースラインを適用します。

4．教育

定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。

5．評価・改善

実装した対策の評価を行い、継続的な改善を促進します。

網羅性：◯　即時性：✕

凡例）「〇:あり / △：部分的にあり / ×:なし」

網羅的アプローチは、可能な限り多くの脅威や攻撃手法に対して対策を講じることを目指すアプローチとなります。ただし、全体的な実施には時間がかかるため、即時性を重視するアプローチではありません。

• 可能な限り多くの脅威や攻撃手法に対して対策を講じる
• 予測できない脅威や新たな攻撃手法に対しても準備ができる状態を維持

1．リスクアセスメント

情報資産を特定し、脅威や脆弱性の評価を実施します。また、リスクの特定と評価を行い、重要度や優先順位を設定します。

2．対応計画

リスク評価の結果を基に、セキュリティ対策を設計します。

3．対策の実装

組織的な対策（ポリシー、手順整備、教育など）、技術的な対策（アクセス制御、暗号化など）を実装します。

4．教育

定期的な教育活動を通じて、従業員にセキュリティポリシーやガイドラインの重要性を啓発し、遵守を促進します。

5．評価・改善

実装した対策の評価を行い、継続的な改善を促進します。また、内部監査や定期的な監査を実施し、情報セキュリティ管理システム適合性および妥当性を確認します。