セキュリティにおけるグローバルガバナンス

サイバーレジリエンスにおけるITセキュリティポリシーの定義

井上洋一 (タニウム)

2022-06-16 06:00

 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

 前回の記事では、ITセキュリティにおけるサイバーハイジーン(サイバー衛生管理、IT環境を健全な状態に保つこと)のポリシー定義について説明した。今回は引き続きサイバーレジリエンスのポリシー定義について深掘りしていく。

ポリシー定義のカテゴリーについて

 今回のポリシー定義では、前回の記事ででも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーをベースに、「サイバーレジリエンス領域」を深掘りしていく。サイバーハイジーンで防御を強化してもセキュリティインシデントが発生する可能性はある。今回のサイバーレジリエンスは、実際にセキュリティインシデントが発生した際の検知・対応・復旧部分についてカバーしていくものである。

「サイバーハイジーン領域」におけるポリシー(前回掲載)

1. 資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2. 脆弱性対応ポリシー:脆弱性対応のポリシー定義
3. 追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義

「サイバーレジリエンス領域」におけるポリシー(今回)

4. 有事の対応ポリシー:有事の対応に関するポリシー定義

ポリシー定義のカテゴリー
ポリシー定義のカテゴリー

有事の対応の前提について

 多くの企業や組織がマルウェア対策製品およびEDR(Endpoint Detection and Response)製品を導入していると思うが、これらの製品を導入すれば、セキュリティインシデントの対応を全てできるわけではない。なぜなら、人間の目に見えていない部分(=IT資産などとして管理されていない部分・継続的な監視ができていない部分)でセキュリティインシデントが発生しても、検知できないからだ。

 また、マルウェア対策製品やEDR製品でセキュリティインシデントの可能性を含んだアラートが多数検知され過ぎて(過剰検知)、セキュリティインシデント対応が多忙を極めている企業や組織を時折見かける。多くのケースは、PCなどの端末に対して脆弱性対応や防御対策(バージョン管理・パッチ管理など)が徹底されていない場合に発生することがほとんどだ。

 有事の対応を準備する上で、資産管理を行う、バージョン管理やパッチ管理を行うといった、いわゆるサイバーハイジーンの徹底が最初のステップであることをご理解いただきたい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]