セキュリティ体制の構築
セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。
第1章 セキュリティ体制構築の必要性
- 『サイバーセキュリティ経営ガイドライン』
- 「経営者が認識すべき3原則」
- 経理者のリーダーシップが重要
- 自社以外のビジネスパートナー等にも配慮
- 平常時からのコミュニケーション・情報共有
- 担当幹部に指示すべき「サイバーセキュリティ経営の重要10項目」
- 指示1「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」
- 指示2「サイバーセキュリティリスク管理体制の構築」
- 指示3「サイバーセキュリティ対策のための資源確保」
- 『情報セキュリティ管理基準』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準
- 『サイバー・フィジカル・セキュリティ対策フレームワーク』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示
- 第1層「企業(組織)間のつながり、第2層はフィジカル空間とサイバー空間のつながり、第3層はサイバー空間におけるつながりで整理
- 『サイバーセキュリティ経営ガイドライン』
- 「経営者が認識すべき3原則」
- 経理者のリーダーシップが重要
- 自社以外のビジネスパートナー等にも配慮
- 平常時からのコミュニケーション・情報共有
- 担当幹部に指示すべき「サイバーセキュリティ経営の重要10項目」
- 指示1「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」
- 指示2「サイバーセキュリティリスク管理体制の構築」
- 指示3「サイバーセキュリティ対策のための資源確保」
- 『情報セキュリティ管理基準』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準
- 『サイバー・フィジカル・セキュリティ対策フレームワーク』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示
- 第1層「企業(組織)間のつながり、第2層はフィジカル空間とサイバー空間のつながり、第3層はサイバー空間におけるつながりで整理
第2章 セキュリティ体制構築の具体的な手法
- 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進
- 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務
- サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命
- 情報セキュリティポリシーは経営層の意思表明
- 文章構成は一般的に「情報セキュリティ基本方針(ポリシー)」「情報セキュリティ対策基準(スタンダード)」「情報セキュリティ実施手順(プロシージャ)」の3階層となる
- 情報セキュリティマネジメントとPDCAサイクル
第3章 様々なセキュリティ組織の形態
- セキュリティ体制の拡張と高度化
- 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括(室)」に着目している。
- セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応する組織を目標とする姿
- 産業横断サイバーセキュリティ人材育成検討会
- CSIRT活動における平常時の重要性
- JPCERTコーディネーションセンターのモデル
- 組織内CSIRTの必要性…インシデント対応体制のベストプラクティスを定義
- 組織内CSIRTを設置することでインシデント報告を集める窓口の一本化、インシデントの一元管理と部門間調整が可能となる。
- 更に外部や国際的なCSIRT連携組織などの信頼関係を構築し多くの情報交換が行える。
- CSIRT スタータキット
第4章 組織形態に応じたセキュリティ計画
- セキュリティ計画
- 情報セキュリティ管理基準
- 計画の策定にはリスクおよび機会の決定が求められる。
- リスク:目的に対する不確かさの影響(期待されていることからの剥離)
- 機会:セキュリティ計画を運営するにあたって発生する事象。
- リスクおよび機会に対処する活動における確認事項
- 具体的な対処計画を作成していること
- 各対処計画が、情報セキュリティマネジメントプロセスの一部として実施されるよう、考慮されていること
- 対処の有効性を評価する方法を作成していること
- 情報セキュリティリスクアセスメントプロセス
- 書きを含んだうえで確立し維持する。
- リスク受容基準
- 情報セキュリティリスクアセスメントを実施するための基準
- 情報セキュリティリスク対応で選定できる選択肢
- リスクを生じさせる活動を開始または継続しないと決定することによるリスクの回避
- ある機会を目的としたリスクの引受またはリスクの負担
- リスク源の除去
- 発生頻度の変更
- 結果の変更
- 他社とのリスク共有
- 情報に基づいた意思決定によるリスクの保有
第5章 組織に求められるリソース
- セキュリティ体制を構築する際には、リソース計画を策定する必要がある
- リソース計画ではシステム的な計画と人員的な計画を同時で進める必要がある
- 資源の確保
- 予算確保の観点
- 人材確保の観点
- 予算確保、人材確保の難しさ
- 一般的にセキュリティ対応の費用対効果(ROI)は見えにくい為、経営層から理解が得られにくい
- サイバーセキュリティに求められる人材を自社で確保する必要性が説明できない。
- →『「対応優先度」と「費用」を繰り返し報告するプロセスが重要』
- サイバーセキュリティ経営ガイドライン
- アウトソースとインソースの検討
- 専門スキルの必要性が高い/低い、情報が組織の内部/外部によって4つの領域に分けられる。
- セキュリティ対応組織(SOC/CSIRT)の教科書
- アウトソースにする範囲
- 「産業横断 セキュリティオペレーション アウトソーシングガイド」ではインソース・アウトソースを決定するモデルが示されている。
- 外部委託する際の考慮
- 『外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書』-3.1 外部委託の際に考慮すべき事項
- 『政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)』
第6章 情報セキュリティ組織の改善活動
- セキュリティ対応には「導入」「運用」「対応」の3工程がある
- 導入:セキュリティに関するルールやプロセスなどセキュリティチームを運営するうえで必要となる仕組みを考え導入する工程
- 運用:導入された仕組みがしっかりと働いていることを確認しインシデントが発生していないか常に目を光らせる平常時の工程
- 対応:日々の運用の中でインシデントを発見したり、第三者から指摘されたりという、いわゆる有事に対処する工程
- 3つの工程を短期サイクルと長期サイクルで見直し実行していくことでカイゼンする。
- 『セキュリティ対応組織(SOC, CSIRT)の教科書 ハンドブック』
- 経営層の報告:「CISOハンドブック」では、CISOダッシュボードというカタチで経営層への報告を提案
コメント
コメントを投稿