19-2-8. 第8章. セキュリティ対策基準の策定
8-1. 対策基準の策定
章の目的
第8章では、ISMSを前提としたサイバーセキュリティ対策における基準を3段階にレベル分けし、各基準の手法について理解することを目的とします。
主な達成目標
- サイバーセキュリティ対策における複数のアプローチ方法と、それぞれのアプローチ手法の特徴について理解すること
- 各アプローチ手法について理解し、どのアプローチ手法を実施するべきか選択できるようになること
主なキーワード
セキュリティ対策基準、クイックアプローチ、ベースラインアプローチ、網羅的アプローチ
要旨
8章の全体概要
最初にセキュリティポリシーの構成(「基本方針」「対策基準」「実施手順・運用規則など」)について説明しています。企業が現在の状況や目標に合わせた「対策基準」を策定する際に活用できる、レベル感の異なる3つのアプローチ手法( LV.1 クイックアプローチ、LV.2 ベースラインアプローチ、LV.3 網羅的アプローチ)を紹介しています。
8-1. 対策基準の策定
セキュリティ対策基準の概要
情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順・運用規則など」で構成されます。「対策基準」を外部に公開することで、セキュリティ対策の実施を内外に示し、説明責任を果たせます。対策基準の内容を定める際は、網羅的なフレームワークを参考にすることが推奨されます。
図77. 情報セキュリティポリシーの全体像
対策基準策定のアプローチ方法
対策基準を作成するアプローチ方法には、レベル感の異なる3つの手法( LV.1 クイックアプローチ、LV.2 ベースラインアプローチ、LV.3 網羅的アプローチ)があります。
アプローチ手法
特徴
想定される適用ケース
LV.1 クイックアプローチ
インシデント事例内容を参考にして、対策基準を策定する方法。即時の対応や緊急事態への対処に適したアプローチ手法。
自社で発生する可能性が高い、または、発生したときの被害が大きいと考えられるインシデントに対処する場合。
LV.2 ベースラインアプローチ
ガイドラインやひな形を参考にして、対策基準を策定する方法。組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指すアプローチ方法。
組織的に一定以上の対策基準を策定する場合。
LV.3 網羅的アプローチ
ISMSなどの既存のフレームワークを用いて、さまざまな脅威や攻撃手法に対して、網羅的な対策を講じることを目指すアプローチ手法。
ISMSの認証取得を目指す場合、あるいは、ISMSの認証取得が可能なレベルを目指す場合。
訴求ポイント
章を通した気づき・学び
状況に応じて適切なサイバーセキュリティ対策のアプローチ手法を選択し、セキュリティ対策の実施を内外に示すため、対策基準を策定することが大切です。
認識していただきたい実施概要
- 対策基準を外部に公開することで、セキュリティ対策の実施を内外に示し、説明責任を果たせること。
- 対策基準で記載する内容を具体的に実践するために、策定した対策基準に従って実施手順を作成することが重要であること。
- 対策基準の内容を定める際は、企業の現状や目標に応じてフレームワークを使用せずに 「クイックアプローチ」「ベースラインアプローチ」を用いて策定できるが、 網羅的なフレームワークであるISMSを参考に策定する「網羅的アプローチ」が推奨されること。
実践のために参考となる文献(参考文献)