コース: サイバーセキュリティの基礎
情報セキュリティのためのグッドプラクティス標準
英国に本部を置く独立系 NPO の インフォメーションセキュリティフォーラム 略称 ISF(アイエスエフ)は、 各国の会員企業に向けた 情報セキュリティ関連の 調査研究活動を行っています。 ISF の主な刊行物の1つが、 毎年更新される 『情報セキュリティのための グッドプラクティス標準』、 SOGP(エスオージーピー)です。 SOGP は、ISF が開発した 情報リスクアセスメントの方法論、 IRAM(アイラム)をベースにした、 サイバーセキュリティ管理の フレームワークです。 IRAM(アイラム)は、 ビジネスインパクト分析、 脅威と脆弱性の分析、管理策の選定という 3つのフェーズで構成されています。 2018 年版 SOGP は、 さまざまな管理策を 17 のカテゴリー、 34 のエリア、 131 のトピックに整理しています。 SOGP の内容は、 ISO 27002、 NIST サイバーセキュリティ フレームワーク、COBIT、 PCI DSSなどの、 主要な情報セキュリティ標準とも 呼応しています。 また、GDPR(ジーディーピーアール)と 呼ばれる欧州のデータプライバシー規則にも 対応しています。 SOGP が定める管理策の例として、 「セキュリティのモニタリングと改善」を 見てみましょう。 このカテゴリーには、 合わせて2つのエリアと 8つのトピックがあります。 「セキュリティ監査」のエリアには 5つのトピック、 「セキュリティ改善」のエリアには 3つのトピックです。 このうち、「セキュリティモニタリング」の トピックを例に、詳しい内容を見ていくと、 まず、「組織の情報セキュリティの状態は、 定期的にモニタリングし、 経営陣に報告しなければならない」 という原則があります。 そして、「組織の情報セキュリティの状態に 関する正確かつ包括的で一貫した 分析を経営陣に提供すること」 という目的が記され、 ここからさらに、 複数のサブトピックが展開されています。 この形式は、ISO や NIST の管理策も同様です。 SOGP は、民間ベースの包括的な セキュリティへのアプローチとして、 ほとんどのコンプライアンス要請に 対応する管理策をカバーしています。
目次
-
-
-
『オレンジブック』:初期のコンピューターセキュリティ概念4分54秒
-
NIST CSFについて知る2分33秒
-
NIST CSFを導入する2分51秒
-
サイバーリスクの基本を理解する3分30秒
-
サイバーセキュリティの脅威と対策を知る3分5秒
-
リスクの記録と報告に使われる手法を学ぶ2分57秒
-
リスクマネジメントのフレームワークを知る5分32秒
-
COBITの枠組みを知る3分35秒
-
セキュリティの運用に関するCOBITの要件5分18秒
-
サイバーセキュリティ対策の基本概念1分37秒
-
サイバーセキュリティ管理策のフレームワーク4分11秒
-
情報セキュリティのためのグッドプラクティス標準2分13秒
-
ASDの管理策リスト3分5秒
-
クレジットカード情報の保護基準7分32秒
-
クラウドのセキュリティ基準3分52秒
-
IoTのセキュリティ3分31秒
-
セキュリティ保証の役割と方法2分16秒
-
-
-
-