サイバーレジリエンスにおけるITセキュリティポリシーの定義

今回は「サイバーレジリエンスにおけるITセキュリティポリシーの定義」についてご紹介します。

関連ワード (セキュリティにおけるグローバルガバナンス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。

 前回の記事では、ITセキュリティにおけるサイバーハイジーン(サイバー衛生管理、IT環境を健全な状態に保つこと)のポリシー定義について説明した。今回は引き続きサイバーレジリエンスのポリシー定義について深掘りしていく。

 今回のポリシー定義では、前回の記事ででも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーをベースに、「サイバーレジリエンス領域」を深掘りしていく。サイバーハイジーンで防御を強化してもセキュリティインシデントが発生する可能性はある。今回のサイバーレジリエンスは、実際にセキュリティインシデントが発生した際の検知・対応・復旧部分についてカバーしていくものである。

「サイバーハイジーン領域」におけるポリシー(前回掲載)

1. 資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2. 脆弱性対応ポリシー:脆弱性対応のポリシー定義
3. 追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義

「サイバーレジリエンス領域」におけるポリシー(今回)

4. 有事の対応ポリシー:有事の対応に関するポリシー定義

 多くの企業や組織がマルウェア対策製品およびEDR(Endpoint Detection and Response)製品を導入していると思うが、これらの製品を導入すれば、セキュリティインシデントの対応を全てできるわけではない。なぜなら、人間の目に見えていない部分(=IT資産などとして管理されていない部分・継続的な監視ができていない部分)でセキュリティインシデントが発生しても、検知できないからだ。

 また、マルウェア対策製品やEDR製品でセキュリティインシデントの可能性を含んだアラートが多数検知され過ぎて(過剰検知)、セキュリティインシデント対応が多忙を極めている企業や組織を時折見かける。多くのケースは、PCなどの端末に対して脆弱性対応や防御対策(バージョン管理・パッチ管理など)が徹底されていない場合に発生することがほとんどだ。

 有事の対応を準備する上で、資産管理を行う、バージョン管理やパッチ管理を行うといった、いわゆるサイバーハイジーンの徹底が最初のステップであることをご理解いただきたい。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
サイオステクノロジー、“燃え尽き”と対になる「ワークエンゲージメント」を解説
IT関連
2022-11-10 01:08
SCSK、月給を全社平均で1万4500円増額へ–人材の獲得競争激化や物価の高騰受け
IT関連
2023-04-23 13:40
日経平均3万円超え、米長期金利1.3%–金利上昇で株高終わる?
IT関連
2021-02-22 16:04
「ChatGPT」、ようやく情報ソースを提供–ただし有料プランのみ
IT関連
2024-04-02 01:34
Metaの社内研究開発グループNPE TeamがグループのためのToDoアプリ「Move」を発表
IT関連
2022-03-10 12:39
Oculusで人気のVRオープンワールドRPG「A Township Tale」開発元のAltaがシード資金14.2億円調達
IT関連
2022-01-28 13:12
J:COM MOBILE、月20GBで2480円の新料金プラン 5G対応は夏以降
企業・業界動向
2021-01-29 22:14
「Windows 11」新プレビューが公開–初の公式ISOイメージを提供
IT関連
2021-08-20 09:52
富士フイルム、1億画素ミラーレスカメラの第2弾 「プロのみならず写真愛好家にも」 価格は約70万円に
くらテク
2021-01-29 08:27
中国Xpengが展開するLiDARを利用した自律運転EV
モビリティ
2021-05-04 15:24
昭和のウルトラマンソング、各種サブスクに登場 ダウンロード販売も
くらテク
2021-06-24 00:11
DNP、建物メンテナンス管理のSaaSを展開するBPMと資本業務提携
IT関連
2021-02-09 16:35
iPhoneのWi-Fi機能にバグ、特定の名前を持つWi-Fiスポットに繋ぐとすべてのWi-Fi機能が無効化(回避策あり)
セキュリティ
2021-06-22 22:05
パロアルトネットワークス、AWS向けマネージド次世代ファイアウォールサービスを提供
IT関連
2022-08-23 16:45