“ライフサイクル”で考えて効率化する脅威対策
防御力とレジリエンスを徹底強化
防御、検知、復旧、適応のバランスがとれた脅威対策を
経営課題としての位置づけが明確になったサイバーセキュリティ
2015年12月、経済産業省は「サイバーセキュリティ経営ガイドライン」を策定しました。これは、ITの活用が不可欠である企業などの経営者を対象に、サイバーセキュリティが重要な経営課題であると位置づけ、経営者がどんなことに留意すべきか、セキュリティ責任者に何を指示すべきなのかをわかりやすくまとめたものです。ガイド内では以下が明記されています。
経営者が認識すべき3つの原則

-
経営者のリーダーシップによる
対策の推進 -
サイバー攻撃を経営リスクの
1つとして位置づける
- 変化への対応と再発防止

-
自社および関係会社を含めた
セキュリティ対策 -
自社、系列会社、
サプライチェーン上のビジネスパートナー、委託先のセキュリティ対策の実施

-
関係者との適切な
コミュニケーション -
情報開示および共有による
信頼性の構築と被害拡大の防止
- 対策の開示と内外へのコミュニケーション
セキュリティ責任者に指示すべき10の重要項目
事前対策
|
リーダーシップの表明と 体制の構築 |
|
---|---|---|
サイバーセキュリティ リスク管理の枠組み決定 |
|
|
リスクを踏まえた 攻撃を防ぐための事前対策 |
|
|
事後対策
|
サイバー攻撃を 受けた場合に備えた準備 |
|
ガイドラインのコンセプトと合致する脅威対策ライフサイクル
「サイバーセキュリティ経営ガイドライン」における技術的対策のポイントは、大きく2つ挙げることができます。
サイバー攻撃を経営リスクとして捉え、
対策を継続的に実施していくこと
対策を継続的に実施していくこと
「事案は起きるもの」と認識し、
事前対策だけではなく事後対応にも備えること
事前対策だけではなく事後対応にも備えること
防御(Protect)だけでなく、検知(Detect)や復旧(Correct)といった事後対応も視野に入れたライフサイクルを継続しながら、そのプロセスの中で得られた知見を組織全体で共有し、新しい状況に適応(Adapt)しながら継続的なセキュリティを可能にするマカフィーの「脅威対策ライフサイクル」は、「サイバーセキュリティ経営ガイドライン」の考え方と合致するものです。ガイドラインに準拠したサイバーセキュリティを実現するために、マカフィーのソリューションや製品群は、大きな力となるでしょう。
<参考および出典> 経済産業省「サイバーセキュリティ経営ガイドラインを策定しました」ページはこちら