目次
1. はじめに
2. 前提
3. セキュリティ対策ToDo一覧
4. おわりに
1. はじめに
サイバーセキュリティは、今やIT部門だけでなく組織全体で取り組むべき重要な経営課題です。しかし、「何から始めればよいか分からない」「自社の対策が網羅的か不安」といった悩みを抱える方も多いのではないでしょうか。
そこで、東京都産業労働局が発行している「中小企業向けサイバーセキュリティの実践ハンドブック」の内容を整理しました。
このハンドブックは、中小企業の経営者、責任者に向けて作成された小冊子で、サイバー攻撃の現状と必ず行うべきサイバーセキュリティ対策の概要をできるだけわかりやすく解説されています。「なぜ必要か(Why)」、「何をするか(What)」、「どのようにするか(How)」が整理されており、組織として検討する際の参考資料として活用されることを想定している電子書籍(無料)です。
この記事では、「何をするか(What)」だけを切り出してセキュリティ対策ToDo一覧を紹介しております。
実施の順番も意識して作成しましたので、「何から始めればよいか分からない」と悩む方の参考になれば幸いです。
2. 前提
「中小企業向けサイバーセキュリティの実践ハンドブック」のうち、どの部分の情報を参考にToDo一覧を作成したかをご説明します。
- 「中小企業向けサイバーセキュリティの実践ハンドブック」に記載されている内容
- セキュリティ対策のレベルを3段階に分けて整理されています。
-
レベル1 報道される事例や特に被害が大きい事例を参考にした、小規模でクイックなセキュリティ対策 レベル2 IPAや総務省のガイドラインを参考にした、最低限実施すべきセキュリティ対策 レベル3 ISMSなどのフレームワークを活用した、あるべき姿のセキュリティ対策
-
- 全レベル共通事項として、「なぜ必要か(Why)」が整理されています。
- レベル毎に「何をするか(What)」、「どのようにするか(How)」が整理されています。
- セキュリティ対策のレベルを3段階に分けて整理されています。
- ToDo一覧を作成するにあたり参考にした情報
- あるべき姿のセキュリティ対策を網羅的に一覧化するため、レベル3の情報を参考にしています。
- 「なぜ必要か(Why)」、「何をするか(What)」、「どのようにするか(How)」のうち、「何をするか(What)」に注目してToDo一覧を作成しています。
3. セキュリティ対策ToDo一覧
セキュリティ対策ToDo一覧は、専門職向けではなく、セキュリティに関わる非専門家も理解しやすいように、専門用語を避けて業務に即した表現を心がけています。
本一覧は、実践ハンドブックと筆者の業務経験に基づき整理したものです。一般的な基準ではなく、個人の視点による整理であることをご理解ください。
| No | フェーズ | タスク名 | タスク内容 | 成果物 | 対象区分 |
|---|---|---|---|---|---|
| 1 | 計画 | 評価計画の策定 | セキュリティの目的や対象範囲を決めて、関係する人や必要な準備を整理する | 計画書、関係者一覧、準備内容 | 組織 |
| 2 | 計画 | 情報資産の特定と重要度評価 | 会社の大切な情報やデータをすべて洗い出して、どれがどれだけ重要かを決める。取引先が保持する情報も含める | 情報一覧、重要度の評価表、責任者一覧 | 組織 |
| 3 | 計画 | 脅威と脆弱性の分析 | 情報に対してどんな攻撃や事故が起こりうるか、どこに弱点があるかを調べる | 攻撃の例一覧、弱点一覧、分析まとめ | 技術 |
| 4 | 計画 | リスク分析と評価 | 見つかった攻撃や弱点がどれくらい危ないかを評価して、優先順位をつける | リスク評価まとめ、危険度表、評価結果、許せる危険の基準 | 組織 |
| 5 | 計画 | ギャップ分析 | 今のセキュリティ対策が、目標や業界の基準とどれくらい違うかを調べる | ギャップ分析まとめ、現状の評価 | 組織 |
| 6 | 計画 | セキュリティポリシー・戦略策定 | リスク評価をもとに、会社全体のセキュリティの方針と具体的な進め方を決める | 方針文書、戦略文書、経営層向けの報告書 | 組織 |
| 7 | 計画 | 対策の優先順位付け | 決めた戦略にそって、限られた人やお金をどこに使うかを決める | 費用と効果の分析、優先順位表 | 組織 |
| 8 | 計画 | ロードマップ作成 | 優先順位にそって、いつ何をするかの計画を作る | 実施計画表、ロードマップ | 組織 |
| 9 | 実行 | セキュリティ対策の実装 | 計画にそって、ツールの導入やルールの見直しなどを実際に行う | 導入報告、設定資料、更新した社内ルール、運用手順書 | 技術 |
| 10 | 実行 | インシデント対応体制の確立 | 問題が起きたときにすぐ対応できるよう、準備・検知・復旧などの流れを作る | 対応計画書、対応練習の結果 | 組織 |
| 11 | 実行 | セキュリティ意識向上トレーニング | 社員のセキュリティ意識を高めるために、教育を続けて行う | 教育内容、教材、受講者一覧、効果のまとめ | 人 |
| 12 | 実行 | 物理的対策の実施 | 建物や部屋の出入り管理、カメラ設置などを行う | 出入り記録、ルール文書、機器の管理表 | 物理 |
| 13 | 実行 | 人的対策(契約・規則)の整備 | 社員の入社・退職時のルールや契約を整える | 契約書、社内ルール、懲戒ルール、情報返却の手順 | 人 |
| 14 | 評価 | 監視と評価 | 導入した対策がちゃんと動いているかを見守り、定期的に評価する | 監査報告、指標レポート、問題報告、脆弱性診断結果 | 組織 |
| 15 | 改善 | ISMS運用とPDCAサイクル | セキュリティを回しながら、改善を続ける | ISMS文書、リスク評価結果、監査報告、改善計画 | 組織 |
| 16 | 改善 | ガバナンス体制の確立と組織文化醸成 | 経営のリーダーシップで、セキュリティの体制と文化を作る | 体制図、役割表、文化づくり計画 | 組織 |
4. おわりに
「何から始めればいいか分からない」「自社の対策が網羅的かどうか不安」といった悩みの解消に、本記事が役立つことを願っています。今回はひとまず「何を(What)」に注目した記事になりますので、今後「どのように(How)」に注目した内容も整理したいと思っています。
