基礎
・ヒト、モノ、カネ、情報・情報セキュリティの三要素「機密性」「安全性」「可用性」
・人的脅威、環境的脅威
・技術的脆弱性、組織的脆弱性、人的脆弱性、物理的脆弱性 ←対策(脆弱性をコントロール)
・リスクアセスメント(非形式アプローチ(ヒアリング)>ベースラインアプローチ(チェックシート)>詳細リスク分析(洗い出しとリスク評価))
実践
1.基本方針をつくる(トップが宣言)
情報セキュリティポリシー(基本方針と対策基準)の作成と周知
2.体制整備(リソース確保)
経営者が積極的に参加する、専任ではなく各部門担当者が兼務する
3.現状把握
ベースラインアプローチ(5分でできる!情報セキュリティ自社診断)、詳細リスク分析
4.計画
リスク対応計画書の作成、周知
5.実行
6.点検
定期的に対応状況を確認、アンケートなど
7.改善
8.インシデントに備える
手順書やテンプレートを用意
CIS Critical Security Control(CSC)・・・米国Center For Internet Secrityから公開されているドキュメント。情報セキュリティ対策とその優先順位をベースラインとしてまとめている。
Cyber Security Framework 1.1・・・米国NISTによって発行されたサイバーセキュリティ対策に関するフレームワーク。IPAが日本語訳を作成。
ISO 27017・・・クラウドサービスに関するセキュリティ管理策のガイドライン規格。
ISO27018・・・クラウドにおける個人データの保護に焦点を当てた国際的な実務規範。
SOC2・・・米国公認会計士協会の補償業務基準及びSOC2ガイダンスに基づき受託会社監査人によって独立した第三者の立場から客観的に検証した結果が記載された保証報告書。
CSA STAR 認証・・・クラウドサービスのセキュリティ成熟度を評価する認証サービス。