ステップアップ式 情報セキュリティ対策ガイドライン
1.4 ステップアップ式 情報セキュリティ対策の考え方
1.3で述べたPDCAサイクルについて、中小企業などでは下記のようなことが問題になります。
・あまりにも計画(Plan)の作業の負荷が高いとそれが壁になり、なかなか導入が進まない
・PDCAのサイクルが身についていない企業が多く、せっかく計画を立て、実施してもそれだけで終わってしまう
そこで、計画のボリュームをまずは少なくすることでPDCAのサイクルを早く廻し、このサイクルを身に付け、順次ステップを踏んで計画の量を増やしていく、というステップアップ式の管理システムを検討しました。
上記のステップアップ式管理システムを情報セキュリティ対策(顧客情報をパスワードで管理する例)について当てはめると下記のようになります。
1.重要な情報資産をピックアップする。
(例:顧客情報)
2.この情報資産について優先順位の高い(必須の)セキュリティ対策を計画する。
(例:パスワードでの保護 等)
3.この計画を実施する。
(例:実際にパスワードで保護する)
4.(ある程度期間をおいて)この施策が継続されているか確認する。
(例:パスワード施策の確認)
5.計画に問題があれば、計画を見直す。
6.次のステップとして、他の重要な情報資産を含めて、上記を実施する。
(例:ファイルサーバの共有ファイル)
7.また、上記2について、セキュリティ対策を少しずつ高度にする。
(例:パスワードに複雑性を持たせる、定期的に変更する 等)
8.上記6.7を繰り返す
上記1-5が1つのPDCAのサイクルです。
以下で、「守るべき情報資産の選定」についてどの様に検討すれば良いか、また「セキュリティ対策レベル」を段階的に上げていき、かつ対策の抜けが無いようにするための、ステップ別セキュリティ対策リストについて説明します。
①守るべき情報資産の選定方法
一般的に、守るべき情報資産の選定にはリスク評価(各情報資産にどの程度の脅威、脆弱性があり、その情報資産の価値とあわせての評価)を行うことにより、優先順位をつけます。しかし、社内で扱う情報資産をすべて洗い出し、その脅威と脆弱性を算出するのは、かなりの作業負荷になります。
そこで、始めは(セキュリティ対策を推進する)担当者が重要だと思う(気になっている)情報資産について始め、順次項目の抽出方法を高度にし、最終的に情報資産の選択に漏れがないようにします。
PDCAのサイクルを廻しながら、下記のような順番で守るべき情報資産を増やしていきます。
1.担当者が重要だと思う情報資産
2.担当者が次に重要だと思う(複数の)情報資産
3.複数のメンバーで重要な情報資産を検討する
4.複数のメンバーでリスク評価に基づいて情報資産を検討する
②ステップ別 情報セキュリティ対策リスト
セキュリティ対策として実際にどの様なことをすべきかを列挙したものが、情報セキュリティ対策リストです。この対策リストはJIPDECが作成した「ISMS認証基準」の127の管理策を最終目的とし、JIS X 5080を元に作成しました。
中小企業の現状セキュリティ対策が取られていない企業を想定し、JIS X 5080の管理策の細分化、文章の平易化を行いました。また、管理策にステップ番号を付加し、重要な管理策からステップを追ってセキュリティレベルを向上できるように作成されています。したがって、このリストの利用は中小企業に留まらず、ISMS認証基準を取得したい企業が、少しずつセキュリティレベルを上げながら、ISMS認証基準に到達することが可能です。
ステップ番号はセキュリティのレベルと対比させ、最重要項目をステップ0(必須項目)、実施が望ましい項目をステップ3(ISMS認証基準)として0~3を対策リストに付加してあります。
また、管理策には解説文や参考となる具体例などをつけ、管理策の理解と実施が容易になるようにしています。
項目3以降が、ステップ別情報セキュリティ対策リストとなっています。
1.3 情報セキュリティ管理システムとは <| 一覧 | >1.5 (参考)公的な情報セキュリティ基準およびガイドラインの調査