サイバーセキュリティ戦略とは、企業のデジタル資産、インフラ、評判を新たな脅威から保護するために設計された体系的な計画です。サイバーリスクを特定し、セキュリティコントロールを実装し、効果的なインシデント対応計画を策定することで、さらなる保護を実現します。また、ガバナンスや従業員の意識向上にも重点が置かれます。
なぜ組織に必要なのか?
組織がサイバーセキュリティ戦略を必要とする理由は、高額な財務的損失を回避し、規制遵守を確保するためです。優れたサイバーセキュリティ戦略は、ビジネスの評判を維持し、業務の継続性を確保するのに役立ちます。
なぜサイバーセキュリティ戦略が重要なのか?
強固なサイバーセキュリティ戦略は、機密データを保護し、財務的損失を防ぐために重要です。進化し高度化する脅威に対抗するのに役立ちます。不正アクセスの防止、ダウンタイムの計画・予防、予期せぬデータ侵害による多大なコストの軽減が可能です。また、インシデントから迅速に回復し、CCPA、GDPR、HIPAAなどのデータ保護法への準拠も強化できます。
優れたサイバーセキュリティ戦略を取り入れることで、高額な罰金、訴訟、法的責任を回避し、長期的に顧客の信頼を維持できます。ビジネスは新たな脅威からさまざまなリスクに直面します。サイバーセキュリティ戦略は、セキュリティ目標とビジネス目標を連携させ、すべてが正しい方向に進むようにします。
サイバーセキュリティ戦略の主要要素
適切な要素がなければ、優れたサイバーセキュリティ戦略は完成しません。ここでは、知っておくべきサイバーセキュリティ戦略の主要要素を紹介します。
1. リスクアセスメント
- 資産の特定:保護すべき重要なシステム、データ、資産を把握します。
- 脅威の特定:組織が脆弱な脅威の種類(例:マルウェア、フィッシング、ランサムウェア、内部脅威)を分析します。
- リスク評価:これらの脅威が組織に与える可能性と影響を評価します。
2. セキュリティポリシーと手順
- セキュリティ対策の実施・維持方法を定義する正式なセキュリティポリシーを策定します。
- 侵害やサイバー攻撃への対応手順(インシデントレスポンス手順)を確立します。
- ポリシーが規制や業界のコンプライアンス要件(例:GDPR、HIPAA)に準拠していることを確認します。
3. テクノロジーとツール
- ファイアウォールおよび侵入検知システム(IDS/IPS):境界セキュリティを実装し、不審なトラフィックを監視・遮断します。
- 暗号化:強力な暗号化アルゴリズムを用いて、保存中および転送中のデータを保護します。
- アクセス制御とID管理:多要素認証やロールベースアクセス制御により、認可されたユーザーのみが機密システムやデータにアクセスできるようにします。
- アンチマルウェアおよびエンドポイントセキュリティ:エンドポイントデバイス上のマルウェアや不審な活動を防止・検知するツールを使用します。
4. セキュリティ意識とトレーニング
- 従業員トレーニング:従業員に対し、セキュリティのベストプラクティスやフィッシング攻撃などのサイバー脅威の認識について定期的にトレーニングを実施します。
- セキュリティ文化:組織内の全員がセキュリティを優先事項とするサイバーセキュリティ意識の文化を醸成します。
5. 監視と検知
- ネットワークトラフィック、ログ、ユーザー活動を追跡・分析する継続的な監視システムを導入します。
- セキュリティ情報イベント管理(SIEM)ツールを活用し、異常やセキュリティイベント、侵害をリアルタイムで検知します。
6. インシデント対応と復旧
- サイバーインシデント発生時の対応策(コミュニケーション戦略や封じ込め策を含む)を明記したインシデントレスポンス計画を作成します。
- 侵害や攻撃後にシステムやデータを迅速に復旧するための災害復旧計画を策定し、ダウンタイムや損失を最小限に抑えます。
7. コンプライアンスと法的考慮事項
- サイバーセキュリティ戦略が、データ保護法や業界固有の基準など、必要な法的・規制要件を満たしていることを確認します。
- 定期的な監査を実施し、必要に応じてポリシーを更新します。
8. 定期的なテストと更新
- システムの脆弱性評価やペネトレーションテストを定期的に実施し、弱点を特定します。
- パッチ管理:既知の脆弱性から保護するため、ソフトウェアやシステムを定期的に更新します。
- 新たな脅威や技術の登場に合わせて、サイバーセキュリティ戦略を継続的に見直し・改善します。
9. 協力と情報共有
- 他組織やサイバーセキュリティコミュニティと協力し、新たな脅威やベストプラクティスに関する情報を共有します。
- 脅威インテリジェンスネットワークに参加し、新たなリスクへの対応力を高めます。
10. ガバナンスと経営層の支援
- 経営層の賛同を得て、サイバーセキュリティがリーダーシップレベルで優先されるようにします。
- サイバーセキュリティガバナンスフレームワークを確立し、組織全体での役割・責任・説明責任を明確にします。これらの要素に取り組むことで、サイバーセキュリティ戦略はリスクの軽減、サイバー攻撃の影響低減、事業継続性の確保に貢献します。
代表的なサイバーセキュリティフレームワーク
ゼロから始める必要はありません。サイバーセキュリティフレームワークは、すぐに使える構造を提供します。リスクの特定、コントロールの選定、監査人へのセキュリティ対策の証明に役立ちます。ビジネスのニーズに応じて異なるフレームワークがあり、主なものは以下の通りです。
NIST
NISTは米国政府発のフレームワークです。セキュリティを「特定」「保護」「検知」「対応」「復旧」の5つの高レベル機能に分けています。小規模企業でも利用可能で、特定のツールの使用を強制しません。
ISO 27001
ISO 27001は国際規格です。ポリシーの文書化と定期的な監査が求められます。多くの大手顧客やパートナーから、この認証の有無を問われます。取得には時間がかかりますが、ビジネスチャンスが広がります。
ゼロトラスト
ゼロトラストは従来モデルを覆します。ネットワーク内部のユーザーを信頼するのではなく、デフォルトで誰も信頼しません。すべてのリクエスト、デバイス、人物を検証します。クラウドアプリやリモートワークがある場合に有効です。
これらのサイバーセキュリティフレームワークについては、1つだけを選ぶ必要はありません。多くの企業は各フレームワークの一部を組み合わせ、自社の規模や予算に合わせて活用しています。選択方法や適用方法の詳細は、Cyber Security Frameworkの記事をご覧ください。
サイバーセキュリティ戦略の策定方法
サイバーセキュリティ戦略は一夜にして構築できるものではありません。段階的に構築していきます。この順序に従えば、実際に機能する計画が完成します。
ビジネス目標の定義
まず、自社が達成すべきことから始めます。顧客のクレジットカードを扱っていますか?患者記録を保管していますか?リモートワークを運用していますか?セキュリティ対策は、それら特有のものを守る必要があります。最重要のビジネス目標を3つ書き出し、それぞれの目標がどのデータやシステムに依存しているかを確認します。これが最初に注力すべきポイントです。
現状のセキュリティ体制の評価
既存の対策を確認し、現状のセキュリティ状態が十分かどうかを評価します。
ファイアウォール、アンチウイルス、バックアップシステム、監視ツールをリストアップします。それらが有効化され、最新であるかを確認します。ポリシーを見直し、必要に応じて更新・変更します。
過去6か月以内に従業員トレーニングを実施しましたか?簡単な監査を行い、機能している点とそうでない点を把握します。ギャップについて正直に認識し、改善に取り組みます。
ギャップの特定
現状と目標の差を比較します。ファイアウォールはあるがエンドポイント検知がない、パスワードポリシーはあるが多要素認証がない、など。すべての不足コントロールを書き出します。また、古いソフトウェアやパスワードの使い回しなどの弱点も記載します。ギャップリストがそのままToDoリストになります。
リスクの優先順位付け
すべてを一度に修正することはできません。ギャップに優先順位を付けます。パッチ管理のない公開Webサーバーは高リスク、影響の小さい内部スプレッドシートは低リスクです。侵害された場合に最も被害が大きいものから修正します。シンプルなスケール(高・中・低)を使い、高から着手します。
コントロールの実装
高リスクのギャップを1つ選び、それを解消します。必要なツールを導入したり、古いポリシーを更新します。トレーニングを実施します。一度に10個のことをやろうとせず、1つずつコントロールを展開・テストし、次に進みます。変更内容を記録します。これは後の監査で重要です。
継続的な改善
脅威は待ってくれません。セキュリティを強化せず、改善や対応が遅れると後悔することになります。ビジネスも成長とともに変化し、新たな攻撃機会が生まれます。そのため、戦略は四半期ごとに見直す必要があります。
年に1回は新たなリスクアセスメントを実施します。インシデント発生後は、何を改善できたかを検証します。ギャップや優先順位を更新し、前進し続けます。これが安全を維持する方法です。
サイバーセキュリティ戦略の例
サイバーセキュリティ戦略は、直面する脅威によって変わります。ここでは、参考となるさまざまなサイバーセキュリティ戦略例を紹介します。
エンタープライズ戦略
大規模企業の多くは、多層防御戦略を採用し、グローバルかつ複雑な環境で厳格な規制遵守を実施します。ゼロトラストセキュリティアーキテクチャを導入し、すべてのアクセス要求を明示的に検証し、境界内外のすべての起点を確認します。
また、SIEMソリューションによる24時間365日のセキュリティ監視、ログの集約、セキュリティオペレーションセンター(SOC)によるリアルタイム異常検知も行います。
大企業は、サプライチェーン攻撃を防ぐため、ベンダーやサードパーティサプライヤーにも厳格なセキュリティ監査を実施します。また、MFAやSSOによる集中管理で数千のIDを管理します。
中小企業戦略
中小企業はセキュリティ人材が不足しがちで、戦略的ニーズも異なります。より効果的かつ低コストなセキュリティ衛生対策に重点を置きます。
自動ソフトウェア更新、ビジネスグレードのファイアウォールの利用、一部業務をMSPや外部脅威ハンターに委託するケースもあります。SMBは四半期ごとにフィッシングシミュレーションを実施し、従業員のトレーニングやセキュリティ意識を確認します(従業員が人的ファイアウォールとして機能)。また、3-2-1バックアップルール(データを3つのコピー、2種類のメディア、1つはオフサイト=クラウドに保管)を実践します。
クラウドファースト戦略
クラウドファースト戦略は、すべてのアプリケーションとデータをAWS、Azure、Google Cloudなどのプラットフォーム上に最初から配置するモデルです。このモデルでは物理サーバーの管理は行わず、クラウドネイティブなセキュリティコントロールを利用します。
IDの保護が最優先事項となります。IDアクセス管理(IAM)と最小権限アクセスの徹底が鍵です。キーの定期的なローテーションも不可欠です。多要素認証はすべての管理者アカウントで有効化してください。
クラウド侵害の多くは設定ミスが原因です。そのため、ストレージバケット、データベース、セキュリティグループのオープン権限を継続的にスキャンすることが重要です。これらのスキャンを自動化し、発見した問題は即座に修正します。
環境の継続的なスキャンに加え、継続的な監視も設定しましょう。異常なAPIコールや新しい場所からの認識されないログイン試行などに対する自動アラートを必ず設定してください。
対処すべき代表的なサイバーセキュリティ脅威
代表的なサイバーセキュリティ脅威は日々進化しています。今すぐ対処すべき主な4つを紹介します。
マルウェア
マルウェア・アズ・ア・サービス(ダークウェブで販売される事前構築済みのマルウェアキット)は、低スキルの攻撃者によって利用されます。これらはエスカレートし、より高度な脅威キャンペーンに発展することもあります。ファイルレスマルウェアは、システムのメモリ上で動作・潜伏し、従来のアンチウイルスでは検知できません。インフォスティーラーはマルウェアによるデータ侵害の主因で、保存されたパスワード、セッショントークン、ブラウザデータを狙います。
フィッシング
フィッシング攻撃は、従業員をだましてパスワードを渡させたり、不正なリンクをクリックさせたりします。攻撃者は銀行や上司、ソフトウェアベンダーを装ったメールを送信します。1回の誤クリックでマルウェアがインストールされたり、認証情報が漏洩することもあります。
主に2種類あります。スピアフィッシングは特定の従業員をカスタム情報で狙い、ホエーリングは経営層を標的にします。どちらも信頼や緊急性を利用するため効果的です。従業員には送信者アドレスの確認やリンクのホバー確認を指導しましょう。模擬フィッシング訓練も実施します。失敗した従業員には追加トレーニングを行い、罰則は避けます。
インサイダー脅威
従業員自身が意図的または偶発的に侵害を引き起こすことがあります。不満を持つ従業員が退職前に顧客データを持ち出す、うっかりファイルを誤送信する、ノートPCを車内に放置するなどです。
異常行動の監視が必要です。深夜2時に数千件のレコードをダウンロード、普段印刷しない機密文書の印刷、職務外フォルダへのアクセスなどにアラートを設定します。また、最小権限アクセスを徹底し、業務に必要なデータのみを付与します。これにより、インサイダーのミスやアカウント乗っ取り時の被害を最小化できます。
ランサムウェア
ランサムウェアはファイルをロックし、復旧のための支払いを要求します。多くはフィッシングや未修正ソフトウェアから侵入します。侵入後はネットワーク全体に拡散し、見つけたものをすべて暗号化します。
主に2つのバリアントがあります。1つは画面をロックし、もう1つはファイルを暗号化して身代金メモを残します。支払ってもデータが戻る保証はありません。攻撃者が金銭を受け取って消えることもあります。最善の防御策はオフラインバックアップです。ランサムウェアが到達できないデータコピーを保持しましょう。また、システムの迅速なパッチ適用も重要です。多くのランサムウェア攻撃は既知の脆弱性を悪用します。
サイバーセキュリティ戦略のベストプラクティス
堅牢なサイバーセキュリティ戦略を構築しても、適切な習慣がなければ機能しません。以下の4つのベストプラクティスが、セキュリティの有効性を維持するのに役立ちます。
定期的なリスクアセスメント
把握していないものは保護できません。リスクアセスメントは年に1回以上実施しましょう。システム、データ、ユーザーアクセスを確認し、前回からの変更点(新しいソフトウェア、従業員、顧客拠点など)を把握します。これらの変化はすべてリスクを増加させます。
アセスメントを単なる書類作業にせず、顧客データベース、財務システム、重要業務など最も被害が大きいものに集中します。各リスクを高・中・低でランク付けし、そのリストを次のセキュリティ投資の判断材料にします。リスクアセスメントは一度きりのプロジェクトではなく、ビジネスの変化に応じて繰り返し実施します。
従業員トレーニング
従業員は攻撃を阻止することも、引き起こすこともあります。ビジネスの存続をかけてトレーニングを実施しましょう。四半期ごとに短いトレーニングを行い、実際のフィッシング例を見せます。予期しないリクエストは電話や対面で確認するよう指導します。
講義だけでなく、模擬フィッシングキャンペーンも実施します。トラップメールを送り、クリックした従業員には追加トレーニングを行います。脅威の報告方法も教え、報告しやすい環境と報奨制度を設けます。フィッシングメールを発見しITに報告した従業員は、侵害を未然に防ぎます。トレーニングは繰り返し実施し、実践的な内容にすることが重要です。
強力なアクセス制御
全員にすべてのアクセス権を与えないでください。最小権限の原則を適用します。経理担当者が顧客の医療記録にアクセスする必要はありません。マーケターがサーバーログを見る必要もありません。まず管理者権限を持つユーザーを見直すと、多すぎることが分かります。
多要素認証は可能な限りすべてで有効化します。メール、VPN、クラウドアプリ、バックアップシステムも対象です。パスワードだけでは不十分です。攻撃者は日常的にパスワードを盗みますが、MFAがあればログインを阻止できます。
また、古いアカウントも整理します。退職者のアクセス権は24時間以内に削除します。退職者のアクティブアカウントは大きなリスクです。中央ID管理システムを使えば、アクセス権の追加・変更・削除を一元管理できます。
継続的な監視
攻撃者が侵入することを前提に、侵入時に検知できる体制が必要です。ネットワーク、サーバー、クラウドアカウントの監視を設定し、ファイアウォール、アンチウイルス、ユーザーログを収集します。
大規模なセキュリティオペレーションセンターがなくても、シンプルなツールで異常をアラートできます。深夜3時の新しい国からのログイン、大量ファイルのダウンロード、既知の悪性アドレスへの通信などが該当します。これらのアラートが調査の手がかりとなります。
アラートは毎日確認します。自社で対応できない場合は、マネージドサービスを利用します。ログを収集するだけで確認しないのは最悪です。監視は、実際にデータを見て対応してこそ機能します。監視のテストも行い、自ら模擬攻撃を実施して検知できるか確認します。検知できなければギャップを修正します。
大企業と中小企業のサイバーセキュリティ比較
ここでは、大企業と中小企業のサイバーセキュリティ戦略を比較します。ご覧ください。
| 注力分野 | 大企業 | 中小企業 |
| リソース | SOCアナリスト、脅威ハンター、コンプライアンス担当、CISOを含むフルセキュリティチームを有します。 | IT担当者1名またはパートタイムのセキュリティリードが担当。自社で対応できない部分は外部委託します。 |
| 脅威 | 高度持続的脅威、国家主体、サプライチェーン攻撃に直面します。攻撃者は事前に防御を調査します。 | 中小企業はフィッシング、ランサムウェア、クレデンシャルスタッフィングなどの機会的脅威に直面します。攻撃者は自動スキャンで発見します。 |
| 影響 | 侵害により株価下落、集団訴訟、メディア報道などが発生。復旧には数か月かかります。 | 侵害により廃業のリスク。多くの中小企業はランサムウェアやデータ損失から回復できません。 |
| ツール | エンタープライズグレードのツール(SIEM、SOAR、EDR、XDR、ネットワーク検知)を導入。24時間365日の監視やカスタム連携に投資します。 | 中小企業向けセキュリティソリューション(ビジネスグレードのアンチウイルス、バックアップソフト、基本的なファイアウォール)を利用。オールインワン型を好みます。 |
| トレーニング | 継続的なトレーニングを実施。月次のフィッシング訓練、役割別モジュール、高価値ターゲット向け模擬攻撃を行います。 | 四半期ごとのトレーニング。基本的なフィッシング対策やパスワード衛生。ウェビナーやメールリマインダーを活用します。 |
| コンプライアンス | 複数の監査に合格する必要あり。SOC2、ISO 27001、PCI DSS、HIPAA、GDPRなど。外部監査人を雇い、数年分の証拠を保持します。 | 該当する1~2つの法律(GDPRやCCPAなど)に注力。基本的な文書化のみで、監査はまれです。 |
| IR/BCP | 役割を明記したインシデントレスポンス計画を策定。年2回のテーブルトップ演習を実施。バックアップデータセンターやクラウドフェイルオーバーを用意。 | 数ページのシンプルな計画。オーナー自ら四半期ごとにバックアップをテスト。復旧はクラウドバックアップやPC交換で対応。 |
| クラウド体制 | 複数のクラウドプロバイダーを利用。専任のクラウドセキュリティ担当を配置。設定ミスを毎日スキャン。数千アカウントにポリシーを適用。 | Office 365やGoogle Workspaceなど1~2つのクラウドアプリを利用。基本的なセキュリティデフォルトを有効化。クラウド権限の監査はまれ。 |
| ID管理 | 数万のIDをSSOと自動プロビジョニングで管理。すべてのログインでMFAを強制。リアルタイムでID脅威を監視。 | 数十~数百のアカウントを管理。パスワードマネージャーを利用。メールや銀行でMFAを有効化。古いアカウントは手動で整理。 |
| 予算 | IT予算の5~10%をセキュリティに投資。複数年契約や高額なサポート・保険にも支出。 | 可能な範囲で支出。売上の1%未満が多い。月額サブスクリプションを利用。余裕があれば基本的なサイバー保険に加入。 |
SentinelOneによるサイバーセキュリティ戦略支援
SentinelOneのSingularity™ Platformは、強力かつ信頼性の高いサイバーセキュリティ戦略を構築したい企業にとって優れた出発点および資産となります。
SentinelOneのビヘイビアAIは、ファイルレス攻撃の検知、ランサムウェアの緩和、マシンスピードでの対応を実現します。悪意のあるプロセスを即座に停止し、ホストを隔離し、サプライチェーン全体で攻撃者が用いる高度な手法も検知・阻止します。ビヘイビアAIはカーネルレベルの活動、メモリ使用状況、プロセス間の関係を追跡し、異常を特定します。また、特許技術であるStorylineにより、関連イベントを1つのビジュアルストーリーに統合できます。攻撃チェーン全体を可視化し、その知見をもとにサイバーセキュリティ戦略を設計できます。
Singularity™ Hyperautomationは、ビジネスに合わせてカスタマイズ可能な自動化ワークフローを提供し、あらゆるSaaSアプリと連携可能です。100以上の事前構築済みインテグレーションで主要ツールとワークフローを接続できます。ノーコードキャンバスで設計・テスト・展開でき、プログラミング経験は不要です。トリアージ、調査、対応プロセスを自動化し、アラートや露出のボリュームを削減し、大規模なセキュリティワークフローを迅速に実行できます。
Singularity™ Cloud Securityは、CWPP、CDR、CSPMを統合したエージェントレスCNAPPです。攻撃者手法をシミュレートするOffensive Security Engine™を搭載し、Verified Exploit Paths™を特定します。シークレットスキャン、インフラストラクチャコードスキャン、脆弱性管理を複数ツールを使わずに実現します。SentinelOneはISO 27001:2022認証を取得しており、NIST CSF、SOC 2、PCI DSSなどのフレームワークへのコントロールマッピングやコンプライアンスレポートの自動化にも活用できます。
Purple AIは、世界トップクラスの生成AIサイバーセキュリティアナリストとして、深いセキュリティ調査や自然言語クエリによる自律的な保護の拡張を実現します。セキュリティスタック全体の可視性を最大化し、ネイティブおよびサードパーティデータを分析し、断片化したデータを迅速なインサイトとアクションに変換します。Purple AIは脅威ハンティングのプロセスも高速化し、フォローアップクエリも実行可能です。
Prompt Security by SentinelOneは、LLM領域の課題に対応します。AIツールを利用する企業向けに、AIコンプライアンスの確保、無許可のエージェント行動の防止、悪意のあるプロンプトのブロック、AIセキュリティ攻撃の防止を実現します。また、SentinelOneのIDセキュリティソリューションを活用し、最小権限アクセスの徹底やクラウド環境全体での認証情報悪用監視も可能です。
まとめ
採用・構築するサイバーセキュリティ戦略は、組織やビジネスの規模によって異なります。つまり、SMBでも大企業でも、本ガイドには有益な情報が含まれています。セキュリティツールの選定や、予算・独自のビジネスニーズに合わせたサイバーセキュリティ戦略の策定に役立ててください。クライアントの期待も忘れずに確認し、最終決定前に考慮しましょう。
ご健闘をお祈りします。追加の支援が必要な場合は、SentinelOneチームまでお気軽にご連絡ください。お手伝いさせていただきます。
よくある質問
簡単に言えば、サイバーセキュリティ戦略とは、組織や個人が自らのデジタル資産、情報システム、データをサイバー脅威から保護するために実施する包括的な計画です。これらの戦略には、サイバー攻撃を防止、検知、対応するための技術、ポリシー、運用手順が組み合わされています。
7つのサイバーセキュリティ戦略は、組織がサイバー脅威から防御するための体系的なアプローチを提供するために、政府や業界のフレームワークでよく強調されています。これらの戦略は、オーストラリアサイバーセキュリティセンター(ACSC)や他の国際機関による国家安全保障イニシアチブやサイバーセキュリティフレームワークの一部です。
具体的な分類は若干異なる場合がありますが、主な7つの戦略は通常以下を含みます。
1. アプリケーションホワイトリストの実施
2. アプリケーションのパッチ適用
3. Microsoft Officeマクロ設定の構成
4. ユーザーアプリケーションのハードニング
5. 管理者権限の制限
6. オペレーティングシステムのパッチ適用
7. 多要素認証(MFA)の導入
サイバーセキュリティ戦略の策定は、通常、3つの基本的な段階があります。
第1段階:特定と評価
まず、明確な目的と目標を設定します。次に、成功を測定するための基準と指標を定義します。財務システムやデータなどの重要資産を特定し、必要な保護レベルを決定します。次に、既知の脆弱性と、それを悪用する可能性のある脅威を評価します。最後に、これらの脅威に確率と影響度を割り当て、分類および優先順位付けを行います。
第2段階:対策の特定
この段階では、市販されているソフトウェアソリューションを評価し、その導入、継続的なコスト、メリットを検討します。多くの場合、第三者からの意見が必要となります。さらに、リスクを軽減し潜在的な脅威を回避するために、社内のポリシーや手順を見直し、調整します。
第3段階:リスクと脅威に対応する戦略の策定
最後に、この段階では、リソースの割り当て、スタッフのトレーニングおよび意識向上に重点を置いた明確なロードマップを作成します。特定の業務領域へのアクセス制御など、必要なインフラの変更も検討します。その後、戦略を最新かつ有効に保つために必要な継続的な活動とリソースを明確にします。
まず、重要な資産とそれに対する脅威を洗い出します。次に、誰が何にアクセスできるか、システムのパッチ適用方法、インシデント対応方法などの明確なルールを設定します。その後、従業員に対して不審なリンクをクリックしないよう教育します。最後に、訓練を実施し、問題点を修正します。
戦略は「何を達成したいか」と「なぜそれを行うのか」を示します。フレームワークは、NISTやISO 27001のように、それを実現するためのガイドラインや標準です。例えるなら、戦略は「ランサムウェアを阻止する」と定め、フレームワークはそのための管理策、監査、対応の構築方法を示します。
