CSFを利用した
セキュリティリスクの
マネジメント
サイバーセキュリティフレームワークは、組織の目的に対するサイバーセキュリティリスクのマネジメントを改善することで、リスクを低減するように設計されています。
3日目のセミナーで紹介したサイバーセキュリティフレームワークを使い、現状の把握や目指すティアの検討を繰り返していくことがリスクマネジメントにつながります。特定・分析・対応・評価をCSFと合わせて実施することで、理想と現実のギャップ解消やリスク対応における優先度の把握、予算の割り当てなどのポイントを整理しやすくなります。
なお、必ずしも全てにおいてティア4を目指すことが重要ではなく、組織のビジネス上の要求事項、リスクの許容度、割当て可能なリソースに応じて、カテゴリー毎に目指すべきティアを設定する事が重要です。
CSFを用いたリスクマネジメント
- 現在行っているサイバーセキュリティ対策が目標のティアの選択にどのように影響するかを把握します。
- 現在のティアの状況を確認・判断し、自組織のサイバーセキュリティリスクマネジメントに対する対応を評価します。
- サイバーセキュリティ対策の現在の状態と目指す目標の状態を作成することで、サイバーセキュリティ上の優先順位を付けます。
- 現在の状態を評価することで、個別のサイバーセキュリティ対策の手順が、期待されるサイバーセキュリティ上の成果をどの程度達成しているか把握します。
組織内の情報と意思決定の流れ(概略図)
出典:情報処理推進機構(IPA)
Framework for ImprovingCritical Infrastructure Cybersecuritをもとに作成
https://www.ipa.go.jp/files/000071204.pdf