企業の情報セキュリティって大事なのは分かるけれど、あまりにも範囲も広いし、技術力も求められそうだし、組織として取り組むことの難しさを感じることもあると思います。
でも、そういう課題は今に始まったことじゃないので、IPAだったりNISC(内閣サイバーセキュリティセンター)だったりベンダーだったりといろんな団体や企業が情報を整理したり、研究した結果をアウトプットしてくれているので、その中からそのときの状況に参考になる資料を見つけて利活用すると、最初の一歩は意外に重くなかったりします。
というわけで、参考になるな、て思った資料をいくつか紹介してみようと思います。
(2021/5時点)
産業横断サイバーセキュリティ検討会(CRIC)
CRIC CSF公開資料一覧の
・産業横断人材定義リファレンス
- 「C.産業横断 セキュリティオペレーション アウトソーシングガイド」
- 「D.産業横断人材定義リファレンスに基づくスキルマッピング」
・「ユーザ企業のためのセキュリティ統括室 構築・運用キット (統括室キット)」
の3つが参考になります。
1つ目は、セキュリティの運用において、自社でやるに向いていること、アウトソースするのがよさそうなことが業務ごとに分類されています。
2つ目は、CISOやシステム管理者など職務ごとに必要になる知識やスキルが一覧化されています。
3つ目は、組織の中に、セキュリティを統括・管理するためのノウハウ(必要性の検証から)がまとめられています。
日本セキュリティオペレーション事業者協議会(ISOG-J)
分かりやすく優しい感じでセキュリティ対応とはなんぞや、セキュリティ対応する組織とはどのようなものか、何をするのか、その組織の成熟度をどうやって評価するか(評価シートもあり)、といったことが整理されています。
経済産業省
有名な資料ですが、企業におけるセキュリティ施策の大前提となる経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。
セキュリティは、とにかくトップの意思表示、経営判断、投資判断が非常に大事な分野。とにかくトップダウンの施策であるということを国として明確に示してくれています。
情報処理推進機構(IPA)
・サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版
・情報セキュリティサービス基準適合サービスリスト
1つ目は、上で紹介した経産省の「サイバーセキュリティ経営ガイドライン」をいざ実践するときに参考にできる事例集。また、セキュリティ担当者の悩みごとに、まずここから着手してみては?というファーストアクションをまとめてくれています。
2つ目は、経産省が策定した「情報セキュリティサービス基準」への適合性を審査され、同基準に適合すると認められた事業者の各情報セキュリティサービスの一覧。
例えば、脆弱性診断サービスをお願いしたいけどどういう事業者があるのだろう?ググったらたくさん出てきたけど、どこが信頼できるのだろう?みたいなときに、参考になる資料です。100%の安全は誰も担保できないけれど、サービスごとに一定の評価を受けているというのは一つの安心材料になるかもしれないです。
日本ネットワークセキュリティ協会(JNSA)
CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネスの基本的な枠組みを整理し、明確にすべき目標と指標、そして施策を評価する判断基準です。CISOになった人がまず参考にする資料です。経営と密接なポジションゆえに数字の話から経営会議における振る舞いまで記載されています。
同ハンドブックは、今年の始めに同じ名前で書籍化されています。より推敲されていると思いますので、しっかり読みたいのであれば書籍版もオススメですが、手っ取り早く要点を理解したい場合はJNSAで公開されている資料でもニュアンスは会得可能かなと思います。
以上、無料で公開されているのに、しっかり作られている参考資料をまとめてみました。今後も、良いのを見つけたら随時更新していこうと思います。
コメント