サイバーハイジーンにおけるITセキュリティポリシーの定義

今回は「サイバーハイジーンにおけるITセキュリティポリシーの定義」についてご紹介します。

関連ワード (セキュリティにおけるグローバルガバナンス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

  前回の記事では、ITセキュリティポリシー導入における前提、最初に理解しておくべきガバナンスモデルや適用方針の全体像について説明した。今回は、各カテゴリーにおける「ポリシーの定義」について深掘りする。

 今回のポリシー定義では、前回の記事でも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーを参考に、以下の4つのカテゴリーでポリシーの定義を進めていく。

 本稿では、まず「サイバーハイジーン領域」を深掘りしていく。なお、「ハイジーン」とは「衛生」の意味であり、サイバーハイジーンとは、一般の衛生管理と同じようにIT環境を健全な状態に保つ「サイバー空間の衛生管理の取り組み」を指す。このサイバーハイジーンを徹底することができれば、85%以上の不正攻撃を防御できるというデータもあり、サイバーハイジーンの重要性をご理解いただけるだろう。

「サイバーハイジーン領域」におけるポリシー

1.資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2.脆弱性対応ポリシー:脆弱性対応のポリシー定義
3.追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義

「サイバーレジリエンス領域」におけるポリシー(次回掲載予定)

4.有事の対応ポリシー:有事の対応に関するポリシー定義

 ITセキュリティポリシーの定義を進める際に、必ず決めておかなければいけないのが、「資産・構成管理ポリシー」である。なぜなら、外部からの多くのサイバー攻撃は「目に見えていない部分=管理されていない部分」をターゲットとしているからである。ITセキュリティポリシーを定義したり、更改を考えたりしている企業・組織は、ぜひ自社、自組織内で全ての対象が「可視化」されているか振り返っていただきたい。

 なお、ITセキュリティポリシー内の「資産管理ポリシー」は、あくまでもITセキュリティを実施する上で必要な項目にのみ限定される。もし資産管理・構成管理のポリシーが既にある場合は、既存の物を流用・引用し、作成していくことを推奨する。

 ITセキュリティにおける資産管理ポリシーでは、最低限以下の点を決めておく必要がある

 上記の項目をまとめていくと、最終的には以下の表のように情報が整理されていくだろう。「構成情報」の詳細項目については、次のページにある「脆弱性対応」や「追加の防御策」のポリシー内容によって、追加が必要になる。

 多くの企業・組織でほとんどの担当者が「既に資産管理・構成管理ができている」と話すが、そういった企業・組織でよく対応を忘れがちな点が「抜け漏れ対応」だ。

 購買部経由で機器を購入し、資産を登録しているので、資産管理では全ての機器が登録されていると考えている。しかし実際の現場では、企業や組織のユーザーが自身で購入した機器が勝手に会社のネットワークに接続されているケース、サービスや設備として購入したために機器が資産として登録されないまま会社のネットワークに接続されているケースにおいて、資産管理から抜け漏れしていることがよくある。

 このようなケースに対しては、社内のネットワークに接続されている機器をネットワークスキャンなどで把握しCMDBなどとの突き合わせを行う以外に方法はない。ネットワークスキャンで見つかった端末をどのように資産管理に登録し、管理下に置くかも重要な項目である。

 また、企業・組織における資産の健全性が保つため、ある一定期間ごとにネットワークスキャンで把握された機器と資産管理との突き合わせによる棚卸しの実施を強く推奨する。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NFTゲーム「Axie Infinity」のRoninハッキング、北朝鮮のLazarusが関与–米当局
IT関連
2022-04-19 06:34
ソフトバンク、基地局の施工期間を6日→2時間に エリア拡大を高速化
IT関連
2021-01-23 10:54
Zuora、「Real-Time Revenue for Zuora Revenue」を提供–決算即日完了を支援
IT関連
2022-04-12 17:41
「マインクラフト」を自動でプレイする、GPT-4搭載の生涯学習エージェント「Voyager」
IT関連
2023-06-22 23:24
「フレンチランドリー」シェフ監修のベジタリアンミールキット「Simple Feast」が米国に進出
フードテック
2021-04-17 21:47
アップルの「Vision Pro」を普段の仕事で使ってみたら
IT関連
2024-02-20 07:29
任期わずかのトランプ政権、中国Xiaomiを投資禁止企業リストに追加
企業・業界動向
2021-01-17 23:46
Open Network Lab第22期デモデーを開催、社内向け動画ツールやCO2削減サービスなど4社が登場
イベント情報
2021-04-21 13:53
東京大学が「デジタルツイン」構築向けWebGISプラットフォーム「Re:Earth」をオープンソースとして公開
ソフトウェア
2021-07-29 15:03
Webブラウザ上にNode.jsを実装、Webブラウザ上のサーバサイドでNext.jsやVite、Astroなどが実行可能な「Sandpack 2.0」が登場
JavaScript
2023-02-20 08:48
グーグルの「Vertex AI Forecast」、小売業者の高精度な需要予測を支援
IT関連
2022-01-21 17:51
ITコスト構造変革とデジタル化による企業競争力強化を支援–日本オラクル・三澤社長
IT関連
2023-01-07 21:37
企業のイノベーションを阻むのは、失敗への「恐怖心」–経営幹部の約7割が回答
IT関連
2023-12-13 19:27
ファイブアイズ、重要インフラ狙うロシア関連のサイバー攻撃に注意喚起
IT関連
2022-04-23 13:07