サイバーセキュリティは経営リスクである――これを経営者がきちんと認識し必要な対策を施せるように、経済産業省から「サイバーセキュリティ経営ガイドライン」が発行されている。2017年9月12日に開催された「Security Online Day 2017」(主催:翔泳社)において、このガイドラインの実践方法について、S&J 上原孝之氏が技術的に解説した。
セキュリティ設計の観点で見た4つの対策項目
2014年にサイバーセキュリティ基本法が国会で可決・成立し、国を挙げたサイバーセキュリティへの取り組みが広がっている。なかでもセキュリティマインドを持った企業経営を推進するため、「サイバーセキュリティ経営ガイドライン」が策定された。
ここには主に経営者が認識すべき3原則と、経営者が担当幹部(CISOなど)に指示すべき重要10項目が示されている。なお現在は改訂に向けて準備中のため、近々最新の動向を踏まえた改訂版が発行される見込みだ。
S&J株式会社 コンサルティング部 部長 上原 孝之氏
肝心の具体的かつ技術的な対策は付録に添付されている。付録にある「望ましい技術対策」の詳細例について、上原氏がPDCAのうち何にあたるか、またセキュリティ設計の観点から大まかに4つに分類した。それが「1.ネットワーク分離」、「2.ログ収集・分析」、「3.設定による対策等」、「4.運用・チェック等」。それぞれの分野ごとに詳しく上原氏が解説する。
技術対策の例(技術的対策項目の詳細例) 出所:S&J株式会社 上原 孝之氏、
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
この記事は参考になりましたか?
- Security Online Day 2017 イベントレポート連載記事一覧
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
