情報セキュリティを実現する3つの方法、すなわち、レベルプロテクション、リスクアセスメント、情報セキュリティマネジメントシステムの構築は、いずれも国家情報セキュリティ保証システムの構築において現在話題となっているものです。ここでは、これら3つの情報セキュリティ確保手法を分析・比較し、それぞれの長所と短所を理解します。
1.保護レベル
1) 主な内容
2) 利点
レベルの保護は、マクロレベルに適用され、大規模な "ベースラインのセキュリティ "は、情報セキュリティの全体的な把握と監視の業界当局に適用されます。
3) デメリット
特定の組織の情報セキュリティ保護に関して、保護レベルの粒度は粗く、情報セキュリティのきめ細かな管理に対する組織の要求を満たすには十分ではありません。そのため、保護レベルに関する規制当局の要件を満たした後、組織は、個々の情報資産を効果的に管理できるようになるまで、保護レベルをさらに様々なレベルのセキュリティ領域に絞り込むことができます。
2.情報セキュリティマネジメントシステム
1) 主な内容
ISO9000の品質と同様に、ISMSは、ISO27001の要求事項に従って情報セキュリティ管理のレベルを向上させるために、組織が全体的または特定の規模で監督する情報セキュリティ方針と目的、およびそれを達成するための方法とシステムです。方針、原則、目的、方法、計画、活動、手順、プロセス、およびリソースの集合体として表現される、直接的な管理活動の結果です。
2) 利点
ISMSは、情報セキュリティの11の分野、133の制御手段は、基本的に情報セキュリティのすべての側面をカバーし、一般的なセキュリティ管理の枠組みを確立するために使用される組織のすべてのタイプに適用されます。ISMSは、統一されたポリシー、戦略、および標準化されたセキュリティルールの確立を通じて、構築するシステムとしての "セキュリティ管理 "に焦点を当て、ISMSの実装の主体は、効果的にリスクを識別し、継続的にリスクを許容できるレベルに低減するための制御措置を取ることができるようにします。統一された方針、戦略、標準化されたセキュリティルールを確立することにより、ISMSの実施主体が効果的にリスクを識別し、組織にとって許容可能なレベルまでリスクを低減するための管理策を継続的に講じることができます。
3) デメリット
それはISMSを確立するためのアイデアとフレームワークを説明するだけで、ISMSを確立する方法の詳細かつ明確な定義を持っていない、また、ISMSの最終的な形式を記述していません。したがって、ISMSは、実装者が操作のための多くの余地を残して、異なる組織とISMSの標準的な把握の異なる実装は非常に異なる場合があります、ISMSの全体的なレベルも高低があります。
3.リスク評価
1) 主な内容
リスクアセスメントとは、組織の現在のリスクレベルを知るための手段であり、金融や電子商取引など多くの分野で、リスクとリスクアセスメントのニーズが存在します。リスクアセスメントをITセキュリティに適用すると、情報セキュリティのリスクアセスメントとなります。
2) 利点
リスクアセスメントは、初期の単純な脆弱性スキャン、手動監査、侵入テストなどの純粋な技術的運用から、徐々に現在のISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS / NZS4360、SSE-CMMなどの普及した手法に移行し、資産を起点とした包括的な情報セキュリティリスク評価手法と運用モデルを完全に体現しています。資産を起点とし、脅威を引き金とし、技術・管理・運用に存在する脆弱性を原因因子とする包括的な情報セキュリティリスク評価手法と運用モデルを完全に体現しています。
3) デメリット
情報セキュリティリスクアセスメントガイドラインで特定されたリスクアセスメント手法は、まだ一般的な手法であり、特定のユニットに関連するリスクを正確に特定し、定量化することは、評価者の経験に大きく依存する難しい作業です。
一方、「情報セキュリティリスク評価ガイド」は、主に特定された静的資産の一つを対象としたリスク評価であり、ITガバナンス、IT管理プロセス、IT運用・保守、IT監査、IT価値の実現などにおけるリスクが含まれており、上記の情報資産のリスク評価手法を十分に適用することはできません。これらの種類のリスクは、組織の本業に関係するものであり、組織にとってより大きな関心事であるため、情報セキュリティの実施においてこれらのリスクは、組織の本業に関連するものであり、組織にとってより大きな関心事であるため、情報セキュリティの実施過程において、リスクを正確に特定し、コントロールすることは、組織にとって大きな意義があります。
以上の比較から、3つの手法はいずれも情報セキュリティを実現するための有効な手段であるが、それぞれ着眼点が異なり、真に情報セキュリティを実現するためには、3つを組み合わせ、適宜拡張し、日本の特性に合った情報セキュリティへの道を探ることが必要であると考えられます。
