“ライフサイクル”で考えて効率化する脅威対策

防御力とレジリエンスを徹底強化

防御、検知、復旧、適応のバランスがとれた脅威対策を

経営課題としての位置づけが明確になったサイバーセキュリティ

2015年12月、経済産業省は「サイバーセキュリティ経営ガイドライン」を策定しました。これは、ITの活用が不可欠である企業などの経営者を対象に、サイバーセキュリティが重要な経営課題であると位置づけ、経営者がどんなことに留意すべきか、セキュリティ責任者に何を指示すべきなのかをわかりやすくまとめたものです。ガイド内では以下が明記されています。

経営者が認識すべき3つの原則

経営者のリーダーシップによる 対策の推進: サイバー攻撃を経営リスクの
1つとして位置づける; 変化への対応と再発防止

自社および関係会社を含めた セキュリティ対策: 自社、系列会社、
サプライチェーン上のビジネスパートナー、委託先のセキュリティ対策の実施

関係者との適切な コミュニケーション: 情報開示および共有による
信頼性の構築と被害拡大の防止; 対策の開示と内外へのコミュニケーション

セキュリティ責任者に指示すべき10の重要項目

事前対策	リーダーシップの表明と体制の構築	① サイバーセキュリティリスクの認識、組織全体での対応の策定 ② サイバーセキュリティリスク管理体制の構築
	サイバーセキュリティリスク管理の枠組み決定	③ サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定 ④ サイバーセキュリティ対策フレームワーク構築と対策の開示 ⑤ 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施および状況把握
	リスクを踏まえた攻撃を防ぐための事前対策	⑥ サイバーセキュリティ対策のための資源確保(予算、人材等) ⑦ ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保 ⑧ 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
事後対策	サイバー攻撃を受けた場合に備えた準備	⑨ 緊急時の対応体制の整備、定期的かつ実践的な演習の実施 ⑩ 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

ガイドラインのコンセプトと合致する脅威対策ライフサイクル

「サイバーセキュリティ経営ガイドライン」における技術的対策のポイントは、大きく2つ挙げることができます。

サイバー攻撃を経営リスクとして捉え、
対策を継続的に実施していくこと

「事案は起きるもの」と認識し、
事前対策だけではなく事後対応にも備えること

防御（Protect）だけでなく、検知（Detect）や復旧（Correct）といった事後対応も視野に入れたライフサイクルを継続しながら、そのプロセスの中で得られた知見を組織全体で共有し、新しい状況に適応（Adapt）しながら継続的なセキュリティを可能にするマカフィーの「脅威対策ライフサイクル」は、「サイバーセキュリティ経営ガイドライン」の考え方と合致するものです。ガイドラインに準拠したサイバーセキュリティを実現するために、マカフィーのソリューションや製品群は、大きな力となるでしょう。

＜参考および出典＞ 経済産業省「サイバーセキュリティ経営ガイドラインを策定しました」ページはこちら