「IPA 情報セキュリティ10大脅威（組織編）」への対策状況をガイドラインチェックでご確認いただけるようになりました！

IPA（独立行政法人情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威（組織編）」のうち、近年継続的にランクインしている5つの脅威に関するリスクシナリオ分析を実施いただける機能を提供いたしました。

IPA_GC_006

■ 「IPA 情報セキュリティ10大脅威（組織編）」とは

情報セキュリティの10大脅威（組織編）とは、前年に発生したセキュリティインシデントや攻撃手法を基に、特に組織に深刻な影響を及ぼしたリスクを分析し、重要度の高い順に整理したものです。組織が直面するセキュリティ上の課題を体系的に示しており、情報資産を脅威から守るためには、戦略・組織・技術・有事対応において、多層防御（Defense-In-Depth）の観点による網羅的な対策が必要です。

前年の脅威を踏まえた現状のセキュリティ対策の見直しに加えて、顕在化しうる将来のリスクへの備えを行う指針としても活用できます。

情報セキュリティ10大脅威（組織編）ランキング経年比較
※IPA「情報セキュリティ10大脅威 2024：組織編」を元にNRIセキュアが作成

■ ランサムウェアによる被害など、リスクに応じた評価・分析が可能になりました

Secure SketCHのガイドラインチェック機能では、従来よりNIST Cybersecurity framework、CIS Controls、 ISO/IEC 27001などの指標ベースのリスク分析が可能でしたが、今回新たにリスクベースでの分析（参考１）を実施いただけるようになりました。

NRIセキュアが有償プランのご契約者様に対し、策定した「リスクシナリオ一覧（参考２）」に記載される5つの脅威シナリオ（ランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃、内部不正による情報漏洩、標的型攻撃による機密情報の窃取、テレワーク等のニューノーマルな働き方を狙った攻撃）と、Secure SketCHの対策項目の紐付けをご覧いただけます。

IPA_GC_003

※画像はイメージであり、実際の画面とは異なります。

また、GROUPS PLUS/PREMIUMプランにおける「グループガイドラインチェック機能」を利用することで、国内・国外のグループ会社/委託先・取引先における、リスクシナリオ別の対策状況を一元的に管理いただけます。
例えば ”「ランサムウェアによる被害」に関する対策実施率が低い拠点から改善指南のアプローチを行う" など、サプライチェーン全体の効率的なガバナンス強化に寄与します。

IPA_GC_004

※画像はイメージであり、実際の画面とは異なります。

■ ガイドラインチェック機能でご利用いただけるガイドライン・フレームワーク一覧

現在、Secure SketCHのガイドラインチェック機能でご利用いただけるガイドライン・フレームワークは以下13種です。

○指標ベース（ベースラインアプローチ）

・NIST Cybersecurity Framework 1.1 (CSF, サイバーセキュリティフレームワーク)
・NIST Cybersecurity Framework 2.0 (CSF, サイバーセキュリティフレームワーク)
・NIST SP800-171 Rev2
・ISO/IEC 27001:2013及び27002:2013 (経済産業省情報セキュリティ管理基準（平成28年改正版））
・ISO/IEC 27002:2022
・経済産業省サイバーセキュリティ経営ガイドライン Ver2.0
・経済産業省サイバーセキュリティ経営ガイドライン Ver3.0
・CIS Controls v7.1
・CIS Controls v8
・Cybersecurity Maturity Model Certification (CMMC) 1.0
・Cybersecurity Maturity Model Certification (CMMC) 2.0
・金融庁：金融分野におけるサイバーセキュリティに関するガイドライン
○リスクベース（リスクベースアプローチ）

・IPA 情報セキュリティ10大脅威（組織編）【NEW】

ガイドラインチェック機能は、自社向けの評価（SINGLE PREMIUM）プラン、グループ会社向けの評価（GROUPS PLUS、PREMIUM）プランのご契約者様にご利用いただけます（2024年12月時点）

CSF_005

参考１）2つのリスク分析手法

手法１：指標ベース（ベースラインアプローチ）

あらかじめ実現すべきセキュリティレベル（ベースライン）を決定し、システムや組織が目標としているセキュリティレベルに達しているか否か判断するアプローチです。

このベースライン（実現すべきセキュリティレベル）としては、以下のような様々なガイドラインや規制を活用することが一般的です。

・NIST Cybersecurity Framework
・ISO/IEC 27001及び27002
・経済産業省サイバーセキュリティ経営ガイドライン
・CIS Controls、など

手法２：リスクベース（リスクベースアプローチ）

ある特定のリスクを防止するために必要な対策を見極めるアプローチで、脅威シナリオ分析やリスクシナリオ分析などとも呼ばれます。

どのような条件下でサイバー攻撃が成功されてしまうのか、どんな新しいセキュリティ対策を実施することでその成功可能性を下げることができるのか、多層防御（Defense-In-Depth）の概念から検証することが可能です。

近年注目度が増している分析手法であり、金融庁が2024年10月に公表した「金融分野におけるサイバーセキュリティに関するガイドライン」においても、自組織に見合ったリスクベースアプローチでリスク対応を行うことが必要とされています。

指標ベースとリスクベースの異なる評価視点を活用することで、自組織のリスクを多角的に捉えられ、単一の手法では見過ごすことのあるリスクの発見につながります。

参考２）NRIセキュアが策定した「リスクシナリオ一覧」とは

「IPA 情報セキュリティ10大脅威（組織編）」において、近年継続的に上位にランクインされている5つの脅威に関する段階的な攻撃手順と、各手順に対応したSecure SketCHの対策項目を解説した資料です（有償プランご契約者様限定）。

Secure SketCH 標準設問のご回答後において、多角的な視点でのリスク評価の分析、対策優先度付けや目標設定にご活用いただけます。

IPA_GC_002

ガイドラインチェック機能の詳細については、以下の資料をご参照ください。
⇒ SINGLE PREMIUMプランの資料を無料でダウンロードする
⇒ GROUPSプランの資料を無料でダウンロードする

Secure SketCHは今後も皆様の要望を受けて機能のアップデートを続けてまいります。

News