3.1.1 セキュリティ対策実施の進め方

以下の手順を踏むことで、保護すべき情報やシステムに対するセキュリティ対策の実施する。Fig. 3.1は、以下の手順をフローチャート化したものだが、セキュリティ対策は一過性のものではなく、以下の手順をサイクル化、そして継続的に実施することで、対象システムのセキュリティ対策を実施する必要がある。

1) セキュリティ要求の洗い出し

保護すべき資産(情報やシステム)のセキュリティ要求の洗い出しを行う。

2) 脆弱性の洗い出し

保護すべきシステムに潜む脆弱性の洗い出しを行う。ここでは、次のステップの「脅威の洗い出しと評価」のために、考えうるすべての脆弱性を洗い出す必要がある。

3) セキュリティ脅威の洗い出しと評価

「1) セキュリティ要求の洗い出し」と「2) 脆弱性の洗い出し」の作業からセキュリティ脅威の評価を行う。脅威とは脆弱性によって発生するもので、システムを危険にさらすものである。ここでは、その脅威が、誰によって、何に対して、どんな目的で、どこから、どのくらいの頻度で発生するのかを分析し、保護すべきターゲットに対する脅威(リスク)のレベルを明確化することを意味する。

4) セキュリティ方針の決定

セキュリティ方針とは、セキュリティ要求を満たすための方向性であり、これは、脆弱性に対するセキュリティ対策を決定する際の指針となる。

5) セキュリティ対策の実施

ここでは、各々の脆弱性を取り除くために必要となる対策案を検討し、「3.2.4 セキュリティ方針の決定」に基づき対策を実施する。この脆弱性に対する対策行為は、セキュリティリスクの削減につながる。

Fig. 3.1 セキュリティ対策実施の進め方

　　参考資料
　　　情報処理振興事業協会 セキュリティセンター(IPA/ISEC)
　　　「情報セキュリティ・マネジメントの実践規範・ガイドライン」：
　　　　http://www.ipa.go.jp/security/awareness/management/bs7799-gmits.PDF

Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.