法人特有のリスクマネジメントについてお話します。
サイバーハイジーン(サイバー衛生)3点セット
サイバーハイジーン(サイバー衛生)と言っていますが、具体的にはどのような物事を指すのでしょうか。ここではそのお話をします。
サイバーレジリエンス(サイバー耐性):事業継続のためのサイバーハイジーン(Cyber Hygiene : サイバー衛生) WINDLAB合同会社(WINDLAB LLC)
サイバーハイジーン(サイバー衛生)3点セット
"Medical Documents - Hospital Patient Records" by weiss_paarz_photos is licensed under CC BY-SA 2.0.
サイバーハイジーン(サイバー衛生)と一言で言っていますが、具体的にはどのような物事なのでしょうか。
私はトップページで下記のようにお話をしています。
”「サイバーハイジーン(Cyber Hygiene : サイバー衛生)とは、組織IT環境の定期健康診断です。
企業の従業員の健康維持のために定期健康診断が義務付けされているように、企業の事業継続にはIT環境の定期健康診断が必要です。”
では定期健康診断におけるカルテに相当するものは何でしょうか?
私は下記の3点セットを”組織IT環境の定期健康診断のカルテ”としています。
1)システム概要図
2)ネットワークダイアグラム(ネットワーク構成図)
3)IT資産管理台帳(ハードウェア、ソフトウェア、ライセンスなどの管理台帳)
これに加えて下記のような大前提があります。
1)この会社は何を生業としているのか。
2)この会社の運営方針はどのようなものか。
3)法的な規制や業界ガイドラインはどのようなものがあるのか。
4)この会社の業務を遂行するにあたり必要な”協力会社、主要取引先、関連先、届け出先等一覧”。
上記の7つが揃って、漸く”組織IT環境の定期健康診断のカルテ”の骨格が出来上がります。
Attack Surface Management/OSINTを実行することや、脆弱性について検討するのはこの後です。
先ずは現状がどのようになっているのかを明らかにすることが最も重要になります。
IT部員のいない会社には少し重たいと感じられるかもしれません。
ですが、この3点セットがないと自分たちが攻撃されているのかどうかさえ気が付かないことが多いです。
事態が大きくなって気が付くのです。
こちらの「IPA中小企業の情報セキュリティ対策ガイドライン」も参考になります。
ぜひご参照ください。