情報セキュリティ良好実践基準 (SOGP) - 完全ガイド
各サイバー安全専門家は、企業の業務とデータを守る共通の目標に向かって取り組んでいます。組織のプライバシールールと基準は、調査、計画、会議と安全な作業環境をつなぐ重要な要素です。
SOGP 2020基準はこれらの点に企業視点で重点を置いているため、その指針は情報セキュリティのポリシー、基準、手順の効果的な枠組みを構築する企業にとって大いに役立ちます。
セキュリティワークフォース、コアクラウドセキュリティコントロール、セキュリティオペレーションセンター、モバイルアプリ管理、資産登録、セキュリティ保証、サプライチェーン管理、及びセキュリティイベント管理は、SOGP 500最新版に追加・拡充されたカテゴリー、分野、テーマの一例です.
情報セキュリティフォーラム(ISF)とは?
ISFは1989年に設立された、情報セキュリティ向上に努める世界各国の業界リーダーによる非営利コンソーシアムです。このグループの使命は、最良の技術、手法、解決策を創出することにより、サイバー、情報セキュリティ、リスク管理の重要な課題を検証・整理・解決し、加盟企業のニーズに応えることです。
ISF加盟企業が各自の豊富なリソースと厳格な研究開発の成果を共有することで、全員にメリットが生まれます。プライベートな枠組みとフォーラムを通じて、ISFは加盟企業がデータを守るための最新の手法を導入するのを支援します。協力することで、ISFのSOGP加盟企業は、同様の目的を個別に達成する際に必要な多大なコストを回避できます。ISF製品の導入に関する短期間の専門支援は、コンサルティングサービスとして提供され、加盟企業および非加盟企業の双方が利用可能です。
情報セキュリティにおける良好実践基準とは?
これはデータプライバシー監督の主要な情報源です。企業視点で情報を守る方法を検討し、企業のデータ暗号化の評価に有用な枠組みを提供します。標準が示す多くの要素は、データシステムが企業に及ぼす危険を軽減するために講じるべきあらゆる対策を網羅しています。したがって、企業のセキュリティ体制の有効性と堅牢性を高める大きな手段となります。ISFの情報リスク管理製品群の一部として、この標準は多数のリソース、十分な研究、そして世界各地のISF加盟企業の豊富な知見と実務経験に基づいています。以下の目的で、少なくとも2年に1度改訂されます:
- 先進的な国際機関の要件に対応するため
- 既存の情報プライバシーの良好実践を向上させるため
- サイバーセキュリティ分野の最新理論と手法を取り入れるため
- ISO 27002やCOBIT v4.1など、他の情報セキュリティ基準との互換性を保つため
- 最新の注目課題に関する情報を提供するため
SOGPの目標
本標準は、情報セキュリティが企業の主要業務を支える役割に特に注目しています。多くの場合、その業務の効果は、特定のITベースの業務アプリの利用可能性にかかっています。したがって、重要な業務アプリのセキュリティは標準策定における主要な考慮事項です。
大事な業務アプリは、コンピュータ設置設備やネットワークという基盤なしでは機能しません。情報処理や業務遂行に用いられる企業やデスクトップアプリの安全確保はエンドユーザー環境の範囲に含まれます。新たなアプリの開発はシステム開発の主要対象であり、一方、セキュリティ管理は戦略的な監督と運用に関わります。
SOGPの6つの側面
SOGPの側面
| セキュリティの側面 | 焦点 | 対象 |
|---|---|---|
| セキュリティ管理(企業全体) | 企業レベルのセキュリティ |
|
| 重要業務アプリ | 企業に不可欠な業務アプリ |
|
| コンピュータ設置設備 | 業務アプリに支えられるコンピュータ設置 |
|
| ネットワーク | 業務アプリを支えるネットワーク |
|
| システム開発 | システム開発部門またはプロジェクト |
|
| エンドユーザー環境 | 企業の業務ソフトや重要なデスクトップアプリを使用する部署または部門 |
|
セキュリティ管理
組織のリーダーは、戦略的な指針を示し、十分なリソースを割り当て、全社的に優れた情報セキュリティ実践の促進体制を整え、データシステムによる企業への危険を効果的に軽減する必要があります。
- SM1 ハイレベルの指針
全社で効果的かつ統一された情報セキュリティ基準を導入するには、明確なリーダーシップが必要です。本項では、トップマネジメントのデータセキュリティへの指針と取り組みについて論じ、全従業員に対し情報セキュリティ方針およびシステム・ファイル利用の合意を義務付けます。
- SM2 セキュリティ組織
データとシステムを守るため、全社的なネットワークセキュリティ活動が必要です。本項では、組織のサイバーセキュリティ、従業員のセキュリティ意識、システムセキュリティの専門知識について述べます。
- SM3 セキュリティ要件
適切な実践では、情報とシステムの安全対策がそのビジネス価値に見合うものでなければなりません。本分野は、分類、所有権、情報リスク分析、管理、および法令遵守を網羅します。
- SM4 安全な環境
情報セキュリティの全社的な標準化は難しいですが、共通の実践枠組みを構築し、組織構成を標準化することで対応できます。本項では、全社的なセキュリティ体制について解説します。
- SM5 悪意ある攻撃
悪意ある外部者は企業に対して頻繁に攻撃を仕掛けます。したがって、本分野では、マルウェアを防ぐための対策、アプリとシステムのパッチ適用、不正侵入の検出、重大な攻撃への対応、及びフォレンジック分析を扱います。
- SM6 特別なテーマ
ビジネスと技術は急速に変化しており、全社的に対策すべき様々なテーマと安全上の考慮事項が生じています。本分野には、暗号、公開鍵基盤、電子メッセージ、リモートワーク、第三者アクセス、eコマース、及び外部委託の安全対策が含まれます。
- SM7 管理の見直し
経営陣は、企業の情報セキュリティ状況を把握し、適切に管理する必要があります。本項では、経営者が企業のデータおよびシステムの守りに関する正確な情報を得るための措置について説明します。
重要業務アプリ
アプリの重要度を判断するには、セキュリティ侵害が企業の業務運営にどのような影響を与えるかを評価する必要があります。これにより、データリスクを特定し、適切な安全レベルを確保する基盤が整います。
- CB1 企業必須の安全要件
各企業アプリが必要とする防御レベルやその有用性は大きく異なるため、具体的な保護要件がここで定められています。
- CB2 アプリ管理
業種ごとにアプリの重要度と求められる保護レベルは大きく異なります。
- CB3 ユーザー環境
本分野では、アプリへのアクセス制限、ワークステーションの設定、及びローカル・リモートユーザーの自己責任に関する教育などの実践事項を扱います。
- CB4 システム管理
アプリの動作にはコンピュータとネットワークが不可欠です。これには、サービス契約、アプリの耐性、外部接続、そしてデータ・ソフトのバックアップが含まれます。
- CB5 現地のセキュリティ管理
業務アプリの安全管理は、企業の事業上の課題に沿ったものである必要があります。本項では、データの優先順位、安全要件、リスクの明確化、及び現地での定期的なセキュリティ監査の方法について述べます。
- CB6 特別なテーマ
新たな技術やビジネス慣行により、第三者アクセス、暗号鍵管理、PKI、またはWeb対応アプリなど、主要なアプリに対してより強化された安全対策が求められます。
コンピュータ設置設備
コンピュータ設置設備は、多くの場合、重要な業務アプリを支えるため、その安全確保が最優先となります。場所や規模、使用する機器の種類にかかわらず、同一の情報セキュリティ原則が適用されるよう、グローバルな良好実践基準が要求されます。
- CI1 設置管理
設置作業者の役割と責任、利用規約、資産管理、監視機能を活用し、情報処理用コンピュータを効果的に管理します。
- CI2 運用環境
本項では、設置の設計、セキュリティイベントの記録、ホストやワークステーションの設定、及び物理的保護と耐久性など、サービス目標達成のための措置を取り上げます。
- CI3 システム運用
サービス目標を満たすための運用管理として、コンピュータメディア、バックアップ、変更管理、及びインシデントの検出と対応など、システム運用の対策が含まれます。
- CI4 アクセス制御
アクセス制御は、誰が機密データやコンピュータシステムにアクセスできるかを限定する技術です。本項では、誰が何にどのようにアクセスできるかを規定する方法について述べます。
- CI5 現地のセキュリティ
貴重な資産を守るため、重要な業務アプリを支え機密情報を保持するソフトウェア設置設備は適切に評価される必要があります。本項では、その重要性、関連リスク、および必要な安全対策を明らかにします。
- CI6 サービス継続性
災害などによるデータ伝送の混乱に備え、企業の損害を最小限に抑え業務継続を確保するため、緊急対策とその検証が不可欠です。
ネットワーク
情報はコンピュータネットワークを介して伝達および利用されますが、これらは容易に混乱や不正利用を受ける恐れがあります。業務通信を守るため、ネットワークの設計、サービス、及びセキュリティ実践を遵守する必要があります。これは、ローカルおよび広域ネットワーク、データ通信、音声通信にも同様に当てはまります。
- NW1 ネットワーク管理
複雑なコンピュータネットワークは、システム統合、変化への適応、外部サービスの活用が求められ、経営上・運用上の課題を適切に管理する必要があります。これには、ネットワーク設計、レジリエンス、文書化、及びサービス提供者の管理が含まれます。
- NW2 トラフィック管理
ネットワークは様々なソースからのトラフィックを扱います。本項では、不必要なトラフィックや外部・無線の不正利用を遮断するための対策について説明します。
- NW3 ネットワーク運用
適切なネットワーク運用は、ユーザーへのサービス継続を保証します。本項では、ネットワークの性能、変更、及び情報セキュリティイベントの管理について論じます。
- NW4 現地のセキュリティ管理
本項では、ネットワークの重要性、事業上の危険性、及び安全要件を評価するための方法について述べます。
- NW5 音声ネットワーク
電話システムなどの音声ネットワークは、業務プロセスを混乱させる可能性があります。不正利用や機密会話の漏洩により被害が拡大する恐れがあるため、音声およびVoIPの安全対策が求められます。
システム開発
設計段階でセキュリティを組み込む方が安全かつ効率的です。全体的なシステム開発の視点と、開発品質基準の厳守が求められ、全工程で情報セキュリティを考慮することが重要です。
- SD1 開発管理
信頼できるシステムを提供するためには、確立されたシステム開発プロセスが必要です。組織構造、方法、品質管理、及び安全な成果設定がこの範囲に含まれます。
- SD2 現地防衛計画
本分野には、システム開発プロセスの現状を定期的に監査し、実装チームが各自の役割を把握していることを確認し、現地の重要資料を調整する手順が含まれます。
- SD3 企業必須要件
手順が目的通りに機能し、必要な情報を提供することを保証するため、本項では必要な企業要件とリスク分析を定めます。
- SD4 設計と構築
本分野は、設計、調達、システム構築時の情報セキュリティ対策および、アプリ、一般システム、ウェブに必要な管理策の特定を含みます。
- SD5 テスト
システムとセキュリティ管理策が意図通りに機能し、不具合を最小限に抑えるための効果的なテスト体制について論じます。
- SD6 導入
本項では、システムの運用開始基準、新システムの運用環境への導入、及び導入後のレビューを通じて、適切な実践がなされているかを確認する手順を説明します。
エンドユーザー環境
パーソナルコンピュータ、携帯機器、ポータブル記憶装置などのエンドユーザーデバイスで処理・保存される機密データを守るため、現地のセキュリティ管理、アクセス制御、デスクトップアプリの保護、デバイスの安全対策、及び業務継続のための緊急対策が必要です。
- UE1 現地管理
エンドユーザーデバイス上の機密データを守るには、露出防止、アクセス制御、アプリや端末の保護が求められます。
- UE2 企業業務アプリ
本分野では、企業業務アプリへの不正アクセスを制限し、エンドユーザー環境の変化による業務への悪影響を防ぐための実践事項を扱います。
- UE3 デスクトップアプリ
エンドユーザー環境におけるデスクトップアプリの安全確保には、一般的な情報セキュリティ実践と、アプリ管理、開発、保護といったデスクトップ特有の技術対策が必要です。
- UE4 コンピューティング機器
エンドユーザー環境のコンピューティング機器と情報を守るため、物理的および論理的な対策が必要です。本分野は、ワークステーション、携帯機器、ポータブルデバイスの設定、維持管理、及び保護について扱います。
- UE5 電子通信
エンドユーザー環境の機器とデータを守るため、物理的かつ論理的な対策が求められます。本分野では、ワークステーション、携帯機器、ポータブル記憶の設定、維持管理、及び安全対策について論じます。
- UE6 環境管理
エンドユーザー環境を守るためには、全社的な基準に沿ったセキュリティ体制が必要です。本分野は、個人情報の保護、インシデント監視、バックアップ、物理的安全、及び業務継続を扱います。
標準を活用するメリット
本標準は、企業に以下のようなメリットをもたらします:
- ポリシー、プロトコル、手順、および実践の強化
- 全社的な情報予防対策の効果分析
- 企業全体のデータ整合性に対する理解の向上
- 新たなデータプライバシー対策の構築または既存対策の強化
- データ保護に関する義務の遵守
- 重要アプリやシステムがもたらす潜在的リスクの調査
FAQ
最新情報を購読
