Hello there, ('ω')ノ
サイバーセキュリティ対策は、一部の専門部署だけが実施するものではなく、全従業員が日常業務の中で自然に実行できる仕組みにすることが重要です。
しかし、実際には「セキュリティ対策が面倒」「何をすればいいのか分からない」という理由で、ポリシーが守られず形骸化するケースも多くあります。
NISTサイバーセキュリティフレームワーク(NIST CSF)の「統治(Govern)」機能では、セキュリティの標準(Standard)と手順(Procedure)を明確に定め、業務プロセスに組み込むことが推奨されています。
標準(Standard)と手順(Procedure)の違いとは?
セキュリティポリシーを実効性のあるものにするためには、「標準(Standard)」と「手順(Procedure)」をセットで整備する必要があります。
| 項目 | 標準(Standard) | 手順(Procedure) |
|---|---|---|
| 目的 | ポリシーを具体的なルールに落とし込む | ルールを実行するための詳細な手順 |
| 内容 | セキュリティ基準、守るべきルール | 業務の具体的な実施方法 |
| 例 | 「全社員はPCにMFAを導入すること」 | 「MFAの設定手順:①アプリをインストール ②QRコードをスキャン…」 |
| 適用範囲 | 全社的、全従業員向け | 特定の部門や業務向け |
| 更新頻度 | 年単位で変更 | 必要に応じて頻繁に変更 |
💡 標準(ルール)だけでは、どう実行すればいいのか分からないので、手順(実施方法)も明文化することが重要!
なぜ標準と手順が必要なのか?
✅ ポリシーを現場レベルで実行可能にするため
👉 ルールがあっても、具体的な手順が分からなければ実行されない
✅ セキュリティ対策のバラつきをなくすため
👉 従業員ごとに対応が異なると、弱い部分が攻撃の標的になる
✅ 新入社員や外部委託先にも、一貫したセキュリティ対策を適用するため
👉 経験の少ない社員でも迷わず適切な対応ができる
🚨 標準と手順がないと起こる問題
- 「ポリシーには『機密データは暗号化すること』と書いてあるけど、どうやって暗号化すればいいの?」と従業員が混乱する
- システム担当者によって設定基準がバラバラで、一部の端末だけセキュリティ対策が甘い状態になる
- インシデント発生時に対応手順が分からず、復旧が遅れる
💡 「ルールを決めただけ」で終わらせず、「どうやるか」まで明確にすることが重要!
標準と手順を日常業務に組み込む方法(5つのステップ)
① 重要な業務を洗い出す
まずは、どの業務にセキュリティ標準と手順を適用すべきかを特定します。
✅ 優先順位をつけるポイント
この続きはcodocで購入
