ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

日本企業が目指すべき
サイバーセキュリティのグローバル標準

プライスウォーターハウスクーパース
【第6回】 2015年11月17日
著者・コラム紹介バックナンバー
previous page
3

 NISTのCSFの発表から現在に至るまで、経営者向けのサイバーセキュリティガイドラインとしてはこれが唯一無二の存在であることから、サイバーセキュリティという新たな分野へのチャレンジにあたり多くの企業がこのフレームワークを採用したのである。

 例えば、サイバーセキュリティ強化のために「SOC」(セキュリティ・オペレーション・センター)を新規に構築する場合、NISTのCSFを適用することで見えてくるものは、サイバーセキュリティのリスクや脆弱性の把握(特定)、防ぐことのできるサイバー攻撃とその手口(防御)、インシデントレスポンスや危機管理態勢との連携(検知、対応、復旧)である。

 他にも銀行における不正送金対策の見直しの場合は、海外送金機能の有無によるサイバーリスクと影響(特定)、成りすましや金銭の窃取への対応状況(予防、検知)、顧客補償や追加施策の検討(対応、復旧)といったかたちでサイバー施策に必要な事項が可視化できる。

その他のセキュリティフレームワーク

 今回紹介しているISMSやNISTのCSF以外にも、セキュリティのためのフレームワークは多く存在する。そこで主要なセキュリティフレームワークを活用例とともにいくつか紹介したい。フレームワークの選択にあたっては、サイバーセキュリティ強化の目的にあった最適なフレームワークを選択し組み合わせることで、より効果的なイニシアチブの設計が可能となる。

【情報セキュリティマネジメントシステム(ISMS)】
 情報資産を様々な脅威から守り、リスクを軽減させるための総合的なマネジメント規格。ただし、サイバーセキュリティ固有の新たな脅威には必ずしも対応できないので注意が必要である。

【NISTサイバーセキュリティフレームワーク(CSF)】
 米国の重要インフラ事業者向けに策定されたサイバーセキュリティ・マネジメントのスタンダード。サイバー攻撃への対応として「特定」「防御」「検知」「対応」「復旧」についての施策がまとめられている。

【ISF Standard of Good Practice】
 事業(ビジネス)に重点を置いて組織とサプライチェーンに関するリスクの識別と管理を行うための包括的なフレームワーク。Webの専用ツールを用いてグローバルレベルでの同業他社とのベンチマーク比較ができる。

【SANS 20 Critical Controls】
 情報セキュリティ対策とコントロールが20項目のシンプルな構成で整理され、優先的に行うセキュリティ施策を検討する際に用いられる。

【PCIDSS】
 カード会員データを保護するための規定であるが情報セキュリティの具体的な施策が定量的に示されているため、カード番号の保護に限らずさまざまな種類の情報の保護施策として適用されている。

フレームワーク活用による
世界標準への対応

 2015年3月、金融庁が監督指針の改定を発表した。この改定により経営陣の責任としてサイバーセキュリティ重要性を認識し必要な態勢を整備することが定義されたが、この方針はNISTのCSFのコンセプトである「サイバーリスクの管理」に呼応する。日本企業においてもNISTのCSFを積極的に活用することにより、グローバル標準のサイバーセキュリティ管理を推進することが求められている。

previous page
3
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧