セキュリティフレームワークとは、情報セキュリティおよびサイバーセキュリティを確保するために策定・定義された指針、セキュリティ対策基準、ガイドラインおよび体系的に整理されたベストプラクティス集などのことです。これらは、単なるセキュリティ対策の羅列ではなく、どのような対策をどのように実施すればよいかの指針を示します。
セキュリティフレームワークは、国際標準のマネジメントシステムから特定の業界に特化した具体的な管理策まで、対象範囲や考え方の異なるものが数多く検討されています。たとえば、次のようなものが公開されています。
- 組織が直面するさまざまなセキュリティリスクを特定し、リスクに基づき組織を評価し、リスクを管理するためのプロセスを提供するもの
- セキュリティポリシーや手順の策定、および定期的な監査やレビューを通じた継続的な改善の仕組みを構築することで、組織全体に一貫したセキュリティ対策が実施されることを保証するもの
- 新たな脅威や技術の進化に対応するため、セキュリティ対策効果の継続的なモニタリング評価と改善のプロセスを提供するもの
代表的なセキュリティフレームワークとして、ISO/IEC 27001、NIST Cybersecurity Framework、PCI-DSS、CIS Controlsなどがあげられます。「セキュリティフレームワーク~抜け漏れのないセキュリティ対策への近道~」ではセキュリティフレームワークが注目される背景、フレームワークの種類、活用時のポイントなどを解説しています。ぜひご覧ください。
参考URL
セキュリティフレームワークとは?~抜け漏れのないセキュリティ対策への近道~ - WOR(L)D ワード|大和総研の用語解説サイト
関連レポート
「米国NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表」- SOC Quartary vol.8 2024 summer
