情報セキュリティ 10 大脅威の活用法 を読んで

情報セキュリティ 10 大脅威の活用法

• 自組織／自分にとって守るべきものを明らかにする。
  • 自組織が保有する重要な「情報」や「データ」
  • 上記「業務プロセス」を実現し、また重要な「情報」や「データ」を保護するための「システム」やシステム上で実現されている「サービス」
• 自組織／自分にとっての脅威を抽出する。
  • 『10 大脅威 2023』を参考に、発生して欲しくない（想定被害額が大きい）順番に脅威を並べ替えて、①②③…と番号を振る。
  • 最終的な脅威の順位付けには、自組織が何を重視するのか、組織の経営方針に依存するため、経営方針の決定部門の判断が必要となる場合がある。
• 対策候補（ベストプラクティス）を洗い出す。
  • 各々の脅威に対して有効と考えられる対策候補（ベストプラクティス）を列挙する。
• 実施する対策を選択する。
  • 下記の軸で決定する。
    • 対策候補を実施するために必要な予算・時間・機器の性能等は十分か。それは実施可能か否か。
    • 対策候補を実施しなかった場合の被害は何か。それは許容可能か否か。
    • 対策候補を実施する代わりに、別の方法（例えば、特定の機能をオフにする）で代替可能か否か。
  • 対策例
    • 導入済みファイアウォールの設定を急ぎ見直す
    • システム構築時以来実施していなかったセキュリティ診断サービスの再実施
    • OS やソフトウェアの更新を計画的に実施すべく、社内のソフトウェア台帳をメンテナンスし、保守費を含む更新費用を漏れなく予算計上する
    • 早期検知のための対策強化は、今後の課題として、次年度以降に実施すべく、対応セキュリティ製品の調査に着手