サイバーセキュリティ

 

ISO/IEC 27001:2022に準拠した情報セキュリティの体系的な管理は、情報セキュリティの基本的な保護目標（機密性、完全性、可用性）に関して、情報およびITシステムの効果的な保護を確保することを目的としています。

この保護はそれ自体が目的ではなく、情報の提供と処理を円滑に行うことで、ビジネスプロセスを支援し、企業目標を達成し、企業価値を守るために役立ちます。実際には、ISMSは、この目的のために以下の3つの視点を用います。

◗ G - ガバナンスの観点

– IT目標と情報セキュリティ目標は、上位レベルの企業目標（例：COSOまたはCOBITによってサポートまたは派生されている）から導き出されます。

◗ R - リスクの観点

– 企業価値とITシステムの保護ニーズとリスクエクスポージャー

– 企業のリスクアペタイト

– 機会とリスク

◗ C - コンプライアンスの観点

– 法律、規制、標準による外部要件

– 社内仕様とガイドライン

この資料の目的は、戦略的、政策立案、組織レベルでのセキュリティリスク管理（SRM）へのアプローチの道筋を示すことです。これは「やり方」ガイドや「万能」な方法論ではありません。代わりに、SRMが直面する主要な課題のいくつかについての対話を提供し、SRM戦略計画の策定と実施に取り組む際に検討すべき領域を上級リーダーに示すことを目指しています。また、この資料は、組織内のSRMと他の上級機能リーダー間のコミュニケーション、理解、協力を改善するための指針と支援を提供することも目的としています。このガイドは、本部レベルで組織のSRM戦略および方針の策定と実施に直接責任を持つスタッフ、および他の戦略的な業務ストリームの上級リーダーを対象としています。

進化する脅威の状況と増加するサイバー攻撃により、あらゆる規模や業種の組織が、より複雑で増大する脅威に直面しています。脅威行為者による被害は壊滅的で高額な場合があり、時には取り返しのつかないこともあります。組織の規模に関わらず、すべての組織がサイバーセキュリティの脅威にさらされています。組織が直面する一般的なサイバー攻撃には以下のようなものがあります：

 フィッシング：脅威行為者が、特定の通常はよく知られたブランドを模倣またはなりすまして、個人、グループ、または組織から機密情報を不正に入手しようとする行為です。フィッシャーは、クレジットカード番号、オンラインバンキングの認証情報、その他の機密情報などの個人データを開示させ、詐欺行為に利用します。

 マルウェア：所有者の同意なしにコンピューターシステムに侵入または損害を与える悪意のあるソフトウェアです。一般的なマルウェアの種類には、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、アドウェアなどがあります。

 インサイダー脅威：組織のインフラや情報に関する知識やアクセス権を持ち、意図的か無意識かを問わず、そのインフラや情報を利用して損害を与える人物のことです。

 ランサムウェア：ファイルへのアクセスを金銭の支払いがあるまで拒否するマルウェアです。

 クレデンシャルスタッフィング：盗まれたアカウント認証情報を使い、大規模な自動ログインリクエストを通じてユーザーアカウントへの不正アクセスを試みるサイバー攻撃です。

すべての組織は、サイバーセキュリティリスクを含む幅広いリスクに直面しています。米国連邦政府機関においては、管理予算局（OMB）のサーキュラーA-11でリスクは「目標に対する不確実性の影響」と定義されています[1]。組織のビジネス目標はこのような影響を受ける可能性があるため、この不確実性はさまざまな階層レベルで管理されなければなりません。

本報告書は、企業、組織、およびシステムに固有のサイバーセキュリティリスク管理（CSRM）の側面を強調しています。組織と企業という用語はしばしば同義で使われますが、本書では、組織および企業の両方を、規模、複雑さ、またはより大きな組織構造内での位置にかかわらず、あらゆる実体として定義しています。企業レベルとは、上位階層であり、上級リーダーが独自のリスクガバナンス責任を持つレベルを指します。企業（例えば、法人や政府機関）は、システムによって支えられる組織で構成されています。

1 組織レベルとは、システムレベル（最下位レベル）と企業レベル（最上位レベル）の間にあるさまざまな中間階層レベルを指します。