CyberFix Note
ガバナンス・コンプライアンス
クラウドの責任共有モデルとガバナンス。IaaS/PaaS/SaaSで変わる責任範囲と設定ミスの所在
クラウドの責任共有モデルを原理から整理し、IaaS/PaaS/SaaSで利用者の責任がどう変わるかを早見表で示します。設定ミスによる漏えいの責任は誰にあるのか、経営と現場が押さえるべきガバナンスの勘所を解説します。
#経営・ガバナンス の記事
ガバナンス・コンプライアンス
従業員へのセキュリティ教育の設計。標的型訓練・報告文化・継続的な啓発の組み立て方
形だけの年1回研修で終わらせないために。標的型攻撃メール訓練の正しい運用、罰しない報告文化のつくり方、行動を変える継続的な啓発の設計を、経営・管理の視点で実務的に解説します。
攻撃手法・脅威動向
ビジネスメール詐欺(BEC)の手口と組織的対策。送金プロセスを統制で守る
経営層や取引先になりすまし、正規の業務メールに紛れて送金させるビジネスメール詐欺(BEC)。手口の原理から、なぜ気づきにくいのか、そして送金プロセスの統制と二重確認による組織的な防ぎ方までを実務目線で解説します。
ガバナンス・コンプライアンス
社内セキュリティポリシーの作り方。基本方針・対策基準・実施手順の三層で実効性をつくる
形だけで終わらない社内セキュリティポリシーを、基本方針・対策基準・実施手順の三層構造で設計する方法を解説。三層の役割分担、策定の進め方、現場で守られる仕組みづくりと運用・見直しまでを経営と実務の両視点で整理します。
ガバナンス・コンプライアンス
NIST CSFで自組織のリスクを棚卸しする。6つの機能で現在地を測る進め方
NIST CSF 2.0の6つの機能(統治・識別・防御・検知・対応・復旧)を物差しに、自組織のセキュリティリスクを棚卸しする進め方を、経営と現場の双方の視点から具体的に解説します。
ガバナンス・コンプライアンス
ISMS(ISO/IEC 27001)認証取得の流れと勘所。PDCA・適用宣言書・リスクアセスメント・審査まで
ISMS(ISO/IEC 27001)認証取得を検討する経営・管理層向けに、規格の考え方、PDCAの回し方、適用宣言書とリスクアセスメントの作り方、審査の流れと費用感、そして認証を形骸化させないための勘所を実務目線で整理します。
防御・ハードニング
中小企業のセキュリティソフトの選び方。EPPとEDRの違いと運用負荷で考える
中小企業がセキュリティソフトを選ぶときに迷いがちなEPPとEDRの違い、運用にかかる手間、公的支援の活用までを整理。実在する製品を確認したうえで選定の判断基準を解説します。
インシデント対応・フォレンジック
情報漏えい発生時の対応と公表。委員会への報告義務と本人通知をどう判断するか
個人データの漏えいが疑われたとき、経営はいつ何を判断すべきか。個人情報保護委員会への報告(速報・確報)と本人通知の義務、公表の判断、再発防止までを、個人情報保護法と委員会の公式資料をもとに実務目線で整理します。
セキュアコーディング
セキュリティ資格の対策書まとめ:登録セキスペ・CISSPほか、目的別の選び方と定番テキスト
情報処理安全確保支援士(登録セキスペ)やCISSPなど、実在する主要なセキュリティ資格を整理し、対策書の定番を目的別に厳選して紹介します。試験制度の変更点や費用、自分に合う1冊の選び方まで解説します。
インシデント対応・フォレンジック
ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
ランサムウェアはバックアップごと破壊しにいきます。だからNAS選びの軸は容量より「隔離」と「変更不可スナップショット」。3-2-1の原則から実在製品の見極めまで、経営と現場の判断材料を実務目線でまとめます。