19-2-12. 第12章. 具体的手順の作成(LV.1 クイックアプローチ/LV2. ベースラインアプローチ)
- 12-1. 【LV.1 クイックアプローチ】【LV.2 ベースラインアプローチ】の概要
- 12-2. 【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順
- 12-3. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順
章の目的
第12章では、セキュリティインシデント事例を参考にするクイックアプローチと、ガイドラインやひな形などの資料を参考にするベースラインアプローチにおける対策基準・実施手順の策定方法の理解を目的とします。
主な達成目標
- クイックアプローチ手法を用いて、対策基準・実施手順を策定する方法を理解すること
- ベースラインアプローチ手法を用いて、対策基準・実施手順を策定する方法を理解すること
主なキーワード
クイックアプローチ、ベースラインアプローチ
要旨
12章の全体概要
クイックアプローチ、ベースラインアプローチについて説明しています。クイックアプローチは、実際のセキュリティインシデントの事例について、自社での発生可能性や被害規模を検討した上で対策基準や実施手順を策定していくため、社会的に影響の大きい事案への対策がとりやすいでしょう。ベースラインアプローチは、ガイドラインやひな形などによる既存の手法を参考にして対策基準や実施手順を策定していくため、自社に適した参考元があれば、それをもとに簡易な手順で策定ができるでしょう。
12-1. 【LV.1 クイックアプローチ】【LV.2 ベースラインアプローチ】の概要
LV.1 クイックアプローチ・LV.2 ベースラインアプローチ
セキュリティ対策基準を策定し、具体的な実施手順を明確にすることで、情報漏えいなどのリスク対策を行います。
LV.1 クイックアプローチとは、即時の対応や緊急事態への対処が必要な事例に対して、対策基準や実施手順を策定していくアプローチ手法です。
LV.2 ベースラインアプローチとは、ガイドラインなどを参考に対策基準や実施手順を策定するアプローチ手法です。
12-2.【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順
セキュリティインシデント事例を参考とした実施手順
クイックアプローチでは、自社で発生する可能性が高い、または実際に発生したときの被害が大きいと考えられるセキュリティインシデント事例を参考に、対策基準を策定します。決定した対策基準をもとに、具体的に実施する内容(実施手順)を作成します。対策基準・実施手順作成の手順を説明しています。
メリット
- 小規模な対策や修正を迅速に実施可能。
- 低コストでリスクを軽減。
デメリット
- 短期的な解決策に偏りがちになる。
- セキュリティインシデント事例ごとに策定するため、網羅性は低い。
12-3. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順
情報セキュリティ対策ガイドラインの活用
ベースラインアプローチは、ガイドラインやひな形などの資料を参考に対策基準、実施手順を作成するという方法です。
メリット
- 組織全体で一貫性を確保できる。
- 最低限実施すべきセキュリティ対策を講じることができる。
デメリット
- 追加のセキュリティ対策やリスクに対する適切な対応策を検討することが必要になる。
- ガイドラインやひな形は、一般的な組織を想定したものであるため、自社の組織やシステム、環境に見合ったものであるかどうかを十分に検討する必要がある。
訴求ポイント
章を通した気づき・学び
緊急性や即効性についてはクイックアプローチ、ベースラインアプローチが勝りますが、じっくりと対策を検討する余裕がある場合、網羅的アプローチに取組むことが大切です。
認識していただきたい実施概要
- クイックアプローチは、実際のセキュリティインシデントの事例について、自社での発生可能性や被害規模を検討した上で対策基準や実施手順を策定していくため、社会的に影響の大きいまたは緊急性の高い事象への対策がとりやすいこと。
- ベースラインアプローチは、ガイドラインやひな形などによる既存の手法を参考にして対策基準や実施手順を策定していくため、自社に適した参考元があれば、それをもとに簡易な手順で策定がしやすいこと。
実践のために参考となる文献(参考文献)