情報セキュリティのためのグッドプラクティス標準

英国に本部を置く独立系 NPO の インフォメーションセキュリティフォーラム 略称 ISF（アイエスエフ）は、 各国の会員企業に向けた 情報セキュリティ関連の 調査研究活動を行っています。 ISF の主な刊行物の１つが、 毎年更新される 『情報セキュリティのための グッドプラクティス標準』、 SOGP（エスオージーピー）です。 SOGP は、ISF が開発した 情報リスクアセスメントの方法論、 IRAM（アイラム）をベースにした、 サイバーセキュリティ管理の フレームワークです。 IRAM（アイラム）は、 ビジネスインパクト分析、 脅威と脆弱性の分析、管理策の選定という ３つのフェーズで構成されています。 2018 年版 SOGP は、 さまざまな管理策を 17 のカテゴリー、 34 のエリア、 131 のトピックに整理しています。 SOGP の内容は、 ISO 27002、 NIST サイバーセキュリティ フレームワーク、COBIT、 PCI DSSなどの、 主要な情報セキュリティ標準とも 呼応しています。 また、GDPR（ジーディーピーアール）と 呼ばれる欧州のデータプライバシー規則にも 対応しています。 SOGP が定める管理策の例として、 「セキュリティのモニタリングと改善」を 見てみましょう。 このカテゴリーには、 合わせて２つのエリアと ８つのトピックがあります。 「セキュリティ監査」のエリアには ５つのトピック、 「セキュリティ改善」のエリアには ３つのトピックです。 このうち、「セキュリティモニタリング」の トピックを例に、詳しい内容を見ていくと、 まず、「組織の情報セキュリティの状態は、 定期的にモニタリングし、 経営陣に報告しなければならない」 という原則があります。 そして、「組織の情報セキュリティの状態に 関する正確かつ包括的で一貫した 分析を経営陣に提供すること」 という目的が記され、 ここからさらに、 複数のサブトピックが展開されています。 この形式は、ISO や NIST の管理策も同様です。 SOGP は、民間ベースの包括的な セキュリティへのアプローチとして、 ほとんどのコンプライアンス要請に 対応する管理策をカバーしています。