コース: サイバーセキュリティの基礎
リスクマネジメントのフレームワークを知る
NIST は 2018 年 12 月、 SP800 の 37 『リスクマネジメントフレームワーク』の 第2改訂版を刊行しました。 『リスクマネジメントフレームワーク』は、 セキュリティとプライバシーリスクを 構造的かつ柔軟に管理するための 手法を提示するものです。 この中でカバーされている内容には、 情報セキュリティの分類、 管理手段の選定から、 実施とアセスメント、 システムおよび共通の管理手段への 承認手続き、リスクの継続的監視などが 含まれます。 このフレームワークでは、 情報システムレベル、 任務または業務プロセスレベル、 組織レベルという3つのレベルにわたる リスクが対象です。 リスクマネジメントのプロセスを 実施するためには、まず、 リスクに関するさまざまな資料を 準備することが必要です。 準備した資料を基に、分類、選定、 実施、アセスメント、承認、監視という、 リスクマネジメントのプロセスを 実施していきます。 順番に詳しく見ていきましょう。 準備段階の作業は、7種類に分けられます。 そのうち3つはリスクに関するもので、 4つは管理手段に関するものです。 リスクマネジメント業務の担当を決める 作業、リスクストラテジーと呼ばれる リスクマネジメントのコンテクストを 策定する作業、組織全体の リスクアセスメントを実施する作業、 関連する基準に沿った 管理ベースラインを策定する作業、 全体に共通する管理手段を指定する 作業、潜在的な影響の大小に基づいて システムの優先順位を決める作業、 管理手段の有効性を監視するための 計画を策定する作業です。 次の段階、分類には、準備段階と 重なる部分もありますが、まず、 組織全体で使用されている IT システムについて、個々の特性と、 それぞれが処理したり保存したりする 情報の詳細を把握します。 続いて、機密性、可用性、完全性の 3つの観点から情報の種類ごとに 影響レベルを検討し、 その結果に基づく分類を行ったうえで、 これを組織レベルで 審査して承認を与えます。 次の段階、選定では、 許容できる範囲を超える すべてのリスクを軽減するために、 使用する管理手段を選び、 個々のシステム環境に合わせて 調整を行います。 検討にあたっては、リスクコンテクストに 記録されているリスクレベルと対策が 必要な箇所の情報を参考にします。 選定のアプローチには、 組織全体に共通する管理手段の ベースラインを決める方法と、 リスクアセスメントを踏まえて個別に カスタムの管理手段を選ぶ方法があります。 両方を組み合わせることもできます。 こうして選んだ管理手段は、 運用環境に合わせて調整します。 使用する人員や工程や テクノロジーが変わっても、 それぞれの管理手段でセキュリティ要件を 満たすことができることを確認しながら、 各システムに割り当てていきます。 決定した管理手段の内容は、 それぞれのシステムごとに システムセキュリティプランに記録します。 そして、管理手段の有効性を継続的に 監視するアプローチを策定して実装します。 策定されたシステムセキュリティプランと 継続的な監視の仕組みについても、 組織による承認を与えます。 次の段階、実施では、 選定された管理手段を導入し、 必要に応じてシステムセキュリティ計画を 更新します。 次の段階、アセスメントでは、 全期間にわたるシステムのチェックで、 管理手段が有効に機能して不正などが 発生していないかを確認します。 この段階の作業は、大きく次の 6つに分けられます。 順に挙げると、アセスメントに 必要な条件と知識を備えた 評価担当者を選出する作業、 アセスメントの計画を策定する作業、 計画に沿ってアセスメントを実施する作業、 対象となる管理手段の有効性について 報告する作業、結果に基づいてただちに 可能な是正措置を講じる作業、 すぐに是正できない問題点に対処する 計画を策定する作業です。 次の段階、承認では、 リスクマネジメント活動と 付帯する計画に記されたセキュリティや プライバシーのリスクが、 組織として受容可能であるかどうかを、 上級役員が判断することで、 組織としての説明責任を果たします。 この段階の作業は、 承認のための書類を揃える作業、 上級役員による審査とリスク判断の作業、 追加的なリスクマネジメント対応の作業、 各システムへの対応と残るリスクに対する 承認の作業、承認のプロセスを報告する 作業の5つに分けられます。 最後の監視は、 リスクマネジメントフレームワークの中でも 重要な段階です。 ここまでの段階で行われた決定の 内容に基づいて、組織と情報システムの セキュリティやプライバシー保護の状態を 継続的に把握します。 この段階の作業は、 大きく7つに分けられます。 システムおよび環境の変化を監視する 作業、必要に応じたアセスメントを 継続する作業、 新たな問題が発見された場合に 対応する作業、 状況に応じてリスクマネジメント関連の 文書を更新する作業、セキュリティおよび プライバシーの動向について定期的に 報告する作業、 変更に応じてシステムを承認する作業、 不要になったシステムを安全に 廃棄する作業です。
コースをダウンロードして学習しましょう。
ラーニングコースをダウンロードしてオフラインで視聴しましょう。ダウンロードしたコースはLinkedInラーニングのモバイルアプリ (iOSまたはAndroid) で視聴できます。
目次
-
-
-
『オレンジブック』:初期のコンピューターセキュリティ概念4分54秒
-
NIST CSFについて知る2分33秒
-
NIST CSFを導入する2分51秒
-
サイバーリスクの基本を理解する3分30秒
-
サイバーセキュリティの脅威と対策を知る3分5秒
-
リスクの記録と報告に使われる手法を学ぶ2分57秒
-
リスクマネジメントのフレームワークを知る5分32秒
-
COBITの枠組みを知る3分35秒
-
セキュリティの運用に関するCOBITの要件5分18秒
-
サイバーセキュリティ対策の基本概念1分37秒
-
サイバーセキュリティ管理策のフレームワーク4分11秒
-
情報セキュリティのためのグッドプラクティス標準2分13秒
-
ASDの管理策リスト3分5秒
-
クレジットカード情報の保護基準7分32秒
-
クラウドのセキュリティ基準3分52秒
-
IoTのセキュリティ3分31秒
-
セキュリティ保証の役割と方法2分16秒
-
-
-
-