セキュリティ設計の観点で見た4つの対策項目
2014年にサイバーセキュリティ基本法が国会で可決・成立し、国を挙げたサイバーセキュリティへの取り組みが広がっている。なかでもセキュリティマインドを持った企業経営を推進するため、「サイバーセキュリティ経営ガイドライン」が策定された。
ここには主に経営者が認識すべき3原則と、経営者が担当幹部(CISOなど)に指示すべき重要10項目が示されている。なお現在は改訂に向けて準備中のため、近々最新の動向を踏まえた改訂版が発行される見込みだ。
S&J株式会社 コンサルティング部 部長 上原 孝之氏
肝心の具体的かつ技術的な対策は付録に添付されている。付録にある「望ましい技術対策」の詳細例について、上原氏がPDCAのうち何にあたるか、またセキュリティ設計の観点から大まかに4つに分類した。それが「1.ネットワーク分離」、「2.ログ収集・分析」、「3.設定による対策等」、「4.運用・チェック等」。それぞれの分野ごとに詳しく上原氏が解説する。
技術対策の例(技術的対策項目の詳細例) 出所:S&J株式会社 上原 孝之氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
