サイバーセキュリティ対策を行うにあたっては、自社の現行のIT資産を網羅的に正しく把握し、管理することがスタートラインとなります。
PwC Japan有限責任監査法人では、IT資産のインベントリデータや担当者へのインタビュー、またPwC独自のサイバーセキュリティ・アセスメントシートを活用してIT資産管理態勢を把握し、クライアントのサイバーセキュリティ対策の状況を評価・可視化するIT資産サイバーセキュリティリスクアセスメントサービスを提供しています。
「Top 18 Critical Security Controls(Top 18 CSC)」は、実績をベースに優先順位付けされたセキュリティにおける“18の「効果的な」コントロールリスト”です。
2008年に米国国家安全保障局(NSA)によって作成され、それ以降、米国の政府機関や英国のCenter for the Protection of National Infrastructure、オーストラリア政府、民間企業の専門家、関連する国際機関などによって改訂されてきました。
このTop 18 CSCのうち1~5番目の項目(First 5 CIS Controls)が、最も効果的かつ基本的なセキュリティ予防策として定義されており、セキュリティ対策を講じるにあたっては、この5つを行うことが必要不可欠とされています。
このFirst 5 CIS Controlsの上位1、2番目は、特にIT資産の棚卸について言及しており、またTop 18 CSCのその他の項目も、大半がIT資産管理に関する内容となっています。このことからも、サーバーセキュリティ対策におけるIT資産管理の重要性は明らかです。
| 1 | 組織の資産のインベントリと管理 | 10 | マルウェアの防御 |
| 2 | ソフトウェア資産のインベントリと管理 | 11 | データ復旧 |
| 3 | データ保護 | 12 | ネットワークインフラストラクチャ管理 |
| 4 | 組織の資産とソフトウェアの安全な構成 | 13 | ネットワークの監視と防御 |
| 5 | アカウント管理 | 14 | セキュリティ意識向上スキルのトレーニング |
| 6 | アクセス制御管理 | 15 | サービスプロバイダーの管理 |
| 7 | 継続的な脆弱性管理 | 16 | アプリケーションソフトウエアのセキュリティ |
| 8 | 監査ログ管理 | 17 | インシデントレスポンスと管理 |
| 9 | 電子メールとウェブブラウザの防御 | 18 | ペネトレーションテスト |
IT資産サイバーセキュリティリスクアセスメントは、以下のようなプロセスで実施します。
チェックリストを用いたアセスメントに使用するサイバーセキュリティ・アセスメントシートは、各種セキュリティフレームワーク(NIST cyber security frame work ver1.0、経済産業省サイバーセキュリティ経営ガイドライン、ISO/IEC 27001、SANS The Critical Security Controls)を基にPwCが作成しています。大きく以下の3つのドメインで構成されています。
