中小企業のセキュリティバイデザインとは? JNSA 活動報告
特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)は11月20日、「中小企業において目指すSecurity By Design」を公表した。本書はJNSA西日本支部の「中小企業のためのSecurity by Design WG」の活動をまとめたもの。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同WGでは、JNSA西日本支部の活動成果をもとに、経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討していた。
ITシステムの開発・導入では、機能要件の定義が主となり、セキュリティ機能は非機能要件として重要視されず後回しにされがちだが、一般的に後工程での修正になるほどコストは増加傾向で、ITシステム導入後に十分なセキュリティ対策を行うことは困難となる。本書では、ITシステムの企画・設計段階から、セキュリティを考慮した設計(Security by Design)の導入を重要視し、考慮すべきコントロール、運用確認等セキュリティ要素の関係、体制及び運用について、下記を挙げている。
・「コントロール 技術的対策実装」と「運用確認・監視」は対の関係となる
・「運用確認・監視」に必要な機能、体制は「コントロール 技術的対策実装」段階にて整備する
・OODAループに対応可能な技術的対策、運用と体制も整備する
![日本企業台湾現地法人に2重恐喝ランサムウェア/北朝鮮の多次元APT攻撃/FBIが中国人スパイ実録風動画公開 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/32622.png)
