編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向
セキュリティにおけるグローバルガバナンス

ITセキュリティガバナンスの導入に向けた準備

井上洋一 (タニウム)

2022-05-10 06:00

 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

 前回の記事では、ITセキュリティガバナンスの定義について説明した。今回は、実際にITセキュリティガバナンスを導入する上での準備に向けて、「ポリシーの定義」と「ガバナンス・管理方式」を説明する。

ITセキュリティポリシーの定義

ポリシー適用の企業としての範囲

 最初に決めなければいけないのは、「企業や組織としてITセキュリティで守らなければいけない企業の範囲」を明確化にすることである。グループ会社や子会社、海外拠点などがある場合にはこの範囲を必ず明確にしなければならない。

 このポリシーの適用範囲の定義は、以下のような範囲を参照して決める場合もある。

  • 企業や組織におけるコーポレートガバナンスの適用範囲
  • 企業や組織のCIO/CISO(最高情報/情報セキュリティ責任者)の監督者の説明責任の範囲
  • 企業や組織の関連企業(サプライチェーン)を含めたビジネス影響範囲
  •  ただし、この定義は企業や組織内での組織および体制が複雑で最初に決められないケースも存在する。その場合には、どの範囲まで「ITセキュリティガバナンスの適用を検討するか」を決めた上でポリシー定義を進めていき、ポリシーの検討の中で範囲を明確にしていくステップを踏んだ方が良いだろう。


    ポリシーのカバーする運用フェーズの決定

     次に決めなければいけないポイントは、「運用フェーズ」のどこをカバーするかを明確にしておく点になる。下は、米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を抜粋、簡略化した図である。


     「セキュリティで守る」と言っても、幾つもの工程やフェーズが存在するため、ハイジーン(衛生)領域(特定・防御・検知)とレジリエンス(復元)領域(検知・対応・復旧)のカテゴリーの中で、どの領域のポリシーを定義するのかを明確化する必要がある。

     特定カテゴリーの運用項目の中で、既に一部ポリシーが決まっている場合は、既存のポリシーを更改して、部分的に流用する方法もある。

    ポリシー適用の対象の決定

     次に、ポリシーを決める上で定めなければいけないのは「何を守るのか?」だ。このポリシーの適用対象を明確に決めておかなければ、この後に決めていくポリシーの内容や方法を決めることができない。

     ここで重要なのは、ITセキュリティポリシーの適用範囲を「IT機器全て」と定義してしまうのを避けなければいけないことだ。なぜなら、「IT機器全て」という定義は、人によって解釈が異なることがあるためである。PCやサーバー、ネットワーク機器などはIT機器として判断されると思うが、複合機やプリンターといった事務機器はIT機器に含まれないケースも多々存在する。また、モニターなどについても、IT機器ではあるが、ITセキュリティ対策が施せない機器についても除外する場合もある。

    適用対象のサンプル
    適用対象のサンプル

     なお、今回のITセキュリティポリシーの定義では、最初のステップであるインフラの物理的な機器やソフトウェアなどを対象としたポリシーの定義を前提として進めていく。データやIDに関するITセキュリティポリシーについては別の機会で触れてみたいと思う。

    ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

    特集

    CIO

    モバイル

    セキュリティ

    スペシャル

    NEWSLETTERS

    エンタープライズ・コンピューティングの最前線を配信

    ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
    ITビジネス全般については、CNET Japanをご覧ください。

    このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
    Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
    [ 閉じる ]