12-1-1. クイックアプローチ・ベースラインアプローチ
セキュリティ対策基準を策定し、具体的な実施手順を明確にすることで、情報漏えいなどのリスク対策を行います。対策内容を決めるためのアプローチ手法として、 「LV.1 クイックアプローチ」「LV.2 ベースラインアプローチ」 「LV.3 網羅的アプローチ」 があります。
本章では、「LV.1 クイックアプローチ」と「LV.2 ベースラインアプローチ」における実施手順の作成方法について説明します。LV.1 クイックアプローチは、即時の対応や緊急事態への対処が必要な事例に対して、対策基準や実施手順を策定していくアプローチ手法です。LV.2 ベースラインアプローチは、ガイドラインなどを参考に、対策基準や実施手順を策定するアプローチ手法です。
LV.1 クイックアプローチ(緊急性の高い事象に対応するための対策)
概要
報道される事例や情報セキュリティ10大脅威などから、発生する可能性が高いセキュリティインシデント事例や、セキュリティインシデントが発生した場合に被害が大きい事例を参考にし、対策基準や実施手順を策定します。
メリット
- 小規模な対策や修正を迅速に実施可能。
- 低コストでリスクを軽減。
デメリット
- 短期的な解決策に偏りがちになる。
- セキュリティインシデント事例ごとに策定するため、網羅性は低い。
LV.2 ベースラインアプローチ(即効性のあるアプローチ方法)
概要
IPAや総務省などが発行しているガイドラインやひな形を参考に、対策基準や実施手順を策定します。セキュリティ対策のガイドラインやひな形を参考にすることで、組織全体で一貫性があり、セキュリティの最低基準を満たす対策基準や実施手順を策定します。
メリット
- 組織全体で一貫性を確保できる。
- 最低限実施すべきセキュリティ対策を講じることができる。
デメリット
- 追加のセキュリティ対策やリスクに対する適切な対応策を検討することが必要になる。
- ガイドラインやひな形は、一般的な組織を想定したものであるため、自社の組織やシステム、環境に見合ったものであるかどうかを十分に検討する必要があります。