セキュリオの機能をISMSの観点から見てみよう【ニュース】

2023年3月11日 10:19

情報セキュリティコンサルタントの立場から、LRMが開発・提供する情報セキュリティ教育クラウド「セキュリオ」の機能がどういうふうにISMSの規格をカバーしているのか整理してみる企画第5回、今回はニュース機能です！

※特に何か依頼されているわけでもなく、勝手に書いているので筆者の意見と思ってください(笑)

セキュリオ「ニュース」機能について

セキュリオ「ニュース」機能は、最新の情報セキュリティニュースをお届けする機能です。

またセキュリティニュースだけでなく、年に1回、その年のISMS・Pマーク審査傾向のレポートなども配信されています！

ちなみに現在ニュース機能で配信されている定期ニュース。
実は、僕が執筆担当をしています😎

【規格本文】

4.1 組織及びその状況の理解
この規格要求は、組織の目的に関連して、ISMSの意図した成果を達成する能力に影響を与える外部・内部の課題を決定することです。

決定という行為そのものに直接関わる機能ではないですが、気づけていない課題を知るのに活用することもできるかもしれません。
6.1.2 情報セキュリティリスクアセスメント/8.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応/8.3 情報セキュリティリスク対応
この規格要求は、リスクアセスメント・リスク対応のプロセス定義、実施であり、ニュース機能が直接的に対応するものではありません。

ただ例えば、自分たちに関わるけど特定できていないリスクを認識したり、追加対策としてできていること、行うべきことを整理するのに役立つかもしれません！

【附属書A】

5.7 脅威インテリジェンス
こちらの要求事項では、情報セキュリの脅威に関する情報を収集・分析して活用することが求められています。

ニュース機能では実際のインシデント事例などをもとに、脅威の内容や対策などについて発信しているので、ニュース機能自体を組織にとっての脅威インテリジェンスの一つとして参照することもできるでしょう。
6.3 情報セキュリティの意識向上、教育及び訓練
こちらの要求事項では、職務に関連する情報セキュリティ方針やルールに関する教育などを定常的に受けることが求められています。

意識向上プログラムの一種として、ニュース機能で定期的に配信されるコンテンツを読んでもらうというのも有効的かもしれません！
8.7 マルウェアに対する保護
この要求事項における対応のメインはウイルス対策ソフトの利用などが想定されますが、要求事項には「利用者の適切な認識」というワードも含まれています。

ニュースコンテンツではEmotetなどのマルウェアに関する事例も取り上げたりするので、マルウェアに対する認識を持ってもらう一助にもなります。

ここまではニュース機能がISMSの規格とどのように関連しているか整理してきました。
続いてISMSでセキュリオのニュース機能を使うメリットについて考えてみましょう。

重要な情報を探し、取捨選択する工数を削減できる
様々な情報セキュリティの情報に触れることは大切なのですが、情報が溢れている現代では、その中から自分たちに関連する情報を探し出すことは難しく、大変な労力を要する場合もあります。

その点、ニュース機能ではタイムリーに重要な情報セキュリティトピックを配信しているので、こちらから探す手間を省くことが可能です！
情報を噛み砕いだり、分析する工数を削減できる
項目1に近いところですが、新規管理策の脅威インテリジェンスなどでは、情報を収集することに加え、分析して活きる情報にすることが重視されています。ただ、社会に溢れる情報を分析して、自分たちに必要な情報だけ抜き出すというのも簡単ではありません。

その点、ニュース機能では事例の概要、脅威の内容、対応事項など重要なポイントを抜き出して整理しているのでその工数を削減し、配信された情報をそのまま活用することにも役立つかもしれません。

今回は第5回として「ニュース」機能を取り上げました。

ニュース機能自体が何らかの活動に使われるものではないですが、情報を収集し活用するという観点では、活用できるものでもあります。

新規格では脅威インテリジェンスをはじめとして、「情報を活かす」という観点がより重視されるようになっていますので、その取り組みの一つとしてニュース機能もうまく使っていただければと思います！

この記事が気に入ったらサポートをしてみませんか？