ISMSを利用した情報セキュリティ対策の要件定義

摘要

選んだ対策は，プロセスとして機能するようにまとめ，情報セキュリティ対策の要件として定義する。プロセスには2種類ある。一つ目は，多層防御のプロセスで，守るものを中心にしてレベルごとに構築した防御ラインが順に機能することで脅威からの攻撃を防ぐ。二つ日は，予防·発見·是正のプロセスで，事件や事故が発生する前，発生したとき，発生した後の順に機能する。脅威からの攻撃を防ぎきれなかったときに，攻撃をいち早く発見し，被害の拡大を防ぎ，情報システムや業務を回復することができる。本稿では，三菱電機インフォメーションシステムズ㈱（MDIS）がISMSの導入·維持のコンサルティングを通し，ISMSによるリスクアセスメントと他の技法を交えて行っている情報セキュリティ対策の要件定義方法について述べる。