東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

8-1-2. 対策基準策定のアプローチ方法

クイックアプローチ、ベースラインアプローチ、網羅的アプローチの概要、主な特徴と想定される適用ケースを説明します。

アプローチ手法

特徴

想定される
適用ケース

Lv.1
クイック
アプローチ

即時の対応や緊急事態への対処に適したアプローチ手法。
様々なインシデント事例内容を参考にし、対策基準を策定。

自社で発生する可能性が高い、または、発生したときの被害が大きいと考えられるインシデントに対処する場合。

Lv.2
ベースライン
アプローチ

組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指すアプローチ手法。
ガイドラインやひな形を参考とし、対策基準を策定。

組織的に一定以上の対策基準を策定する場合。

Lv.3
網羅的
アプローチ

脅威や攻撃手法に対して、網羅的な対策を講じることを目指すアプローチ手法。
ISMSなどの認証が可能なレベルを目指して、対策基準を策定。

ISMSのフレームワークに沿った対策基準を策定する場合。

メリット・デメリット

アプローチ手法

メリット

デメリット

Lv.1
クイック
アプローチ

  • 小規模な対策や修正を迅速に実施可能。
  • 低コストでリスクを軽減。
  • 進行中の攻撃の拡大や影響を最小限に抑えられる。
  • 詳細な分析や検討が不十分な場合がある。
  • 短期的な解決策に偏りがちになる。

Lv.2
ベースライン
アプローチ

  • 組織全体で一貫性を確保できる。
  • 最低基準となるセキュリティ対策を講じることができる。

追加のセキュリティ対策やリスクに対する適切な対応策を検討することが必要になる。

Lv.3
網羅的
アプローチ

  • 可能な限り多くの脅威や攻撃手法に対して対策を講じる。
  • 予測できない脅威や新たな攻撃手法に対しても準備ができる状態を維持できる。

全体的な実施には時間がかかる。

Lv.1 クイックアプローチ

Lv.1 クイックアプローチでは、様々なインシデント事例内容を参考にします。インシデント事例は、報道される事例、情報セキュリティ10大脅威、実際のインシデントなどから選択します。自社で発生する可能性が高いと考えられるインシデント事例や、実際に発生したときの被害が大きいと考えられるインシデント事例を参考にして、対策基準を策定することが重要です。以下は、情報セキュリティ10大脅威の『組織』に対する脅威で3年連続第1位になっている、ランサムウェアに対する対策基準の例です。

対策基準(例)

1.対象とする脅威

ランサムウェアによる情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取など

2.組織的対策

組織としてのランサムウェア対応体制の確立 ・インシデント対応体制を整備し対応する

3.人的対策

  • メールの添付ファイル開封や、メールやSMSのリンク、URLのクリックを安易にしない
  • 提供元が不明なソフトウェアを実行しない
  • 適切な報告/連絡/相談を行う

4.物理的対策

適切なバックアップ運用を行う

5.技術的対策

  • 公開サーバーへの不正アクセス対策
  • 共有サーバーなどへのアクセス権の最小化と管理の強化
  • 多要素認証の設定を有効にする
  • サーバーやクライアント、ネットワークに適切なセキュリティ対策を行う

(出典) IPA「情報セキュリティ10大脅威 2023」を基に作成

Lv.2 ベースラインアプローチ

Lv.2 ベースラインアプローチでは、ガイドラインやひな形を参考とし、対策基準を策定します。IPAの「中小企業の情報セキュリティ対策ガイドライン」や以下の【参照資料】を活用することで、自社にあった対策基準を策定することできます。

【参照資料】

  • リスク分析シート(出典:IPA)
  • 中小企業の情報セキュリティ対策ガイドライン第3版(出典:IPA)
  • 情報セキュリティ関連規程(出典:IPA)
  • 自己点検チェックリスト(出典:個人情報保護委員会

1.情報セキュリティのための組織

情報セキュリティ対策を推進するための組織として、情報セキュリティ委員会を設置する。情報セキュリティ委員会は以下の構成とし、情報セキュリティ対策状況の把握、情報セキュリティ対策に関する指針の策定・見直し、情報セキュリティ対策に関する情報の共有を実施する。

役職名

役割と責任

情報セキュリティ責任者

情報セキュリティに関する責任者。情報セキュリティ対策などの決定権限を有するとともに、全責任を負う。

情報セキュリティ部門責任者

各部門における情報セキュリティの運用管理責任者。各部門における情報セキュリティ対策の実施などの責任を負う。

システム管理者

社内の情報システムに必要な情報セキュリティ対策の検討・導入を行う。

教育責任者

情報セキュリティ対策を推進するために従業員への教育を企画・実施する。

(出典) IPA「情報セキュリティ関連規程(サンプル)」を基に作成

Lv.3 網羅的アプローチ

Lv.3 網羅的アプローチでは、ISMSなどの認証が可能なレベルを目指して、対策基準を策定します。そのため、ISMSのフレームワークに沿って、技術的対策といった一部の内容ではなく、運用や監査についても対策基準に記載します。