Hello there, ('ω')ノ
サイバーセキュリティ対策を進める上で、最初に取り組むべきことは「何を守るべきかを明確にする」ことです。どんなに高度なセキュリティ対策を導入しても、守るべき対象が明確でなければ、適切な対策を講じることはできません。
NISTサイバーセキュリティフレームワーク(NIST CSF)のコア機能の1つである「特定(Identify)」は、組織の資産とリスクを明確にし、適切な防御策を計画するための基盤となる重要なステップです。
「特定(Identify)」とは?
「特定(Identify)」とは、組織が持つ重要な資産やリスクを明確にし、どのような脅威が存在するのかを可視化するプロセスです。
🔹「特定」の対象となるもの
- 情報資産(機密データ、顧客情報、財務データなど)
- IT資産(サーバー、PC、クラウドサービス、ネットワーク機器など)
- 人的資産(従業員、パートナー、取引先など)
- 業務プロセス(経理、営業、開発などの業務フロー)
- 法規制・コンプライアンス要件(GDPR、ISO 27001、NIST基準など)
これらを明確にすることで、「どこに脆弱性があり、どの部分を重点的に守るべきか」を判断できるようになります。
なぜ「特定」が重要なのか?
1. 何を守るべきか分からないと、適切な対策が取れない
「どのデータが最も重要なのか?」「どのシステムが業務に不可欠なのか?」が分からないままでは、適切なセキュリティ対策を講じることはできません。
🚨 NG例:「全システムを一律に保護しようとする」
👉 コストがかかりすぎ、効率的ではない
✅ OK例:「最も重要な機密データを特定し、それを優先的に保護する」
👉 重要な部分を重点的に守ることで、効果的なセキュリティ対策が可能になる
例えば、ある企業では、「営業部門が扱う顧客リストが最も重要な資産」と判断し、それに対するアクセス管理を強化することで、情報漏洩のリスクを大幅に低減しました。
2. 「影響が大きいリスク」を正しく把握できる
リスクには大小さまざまなものがありますが、すべてを同じレベルで対策するのは現実的ではありません。
✅ 「もし攻撃を受けたら、業務にどのくらいの影響があるのか?」
✅ 「このリスクは、どの程度の頻度で発生する可能性があるのか?」
これらを明確にすることで、限られたリソースを最大限に活かし、最も影響の大きいリスクに優先的に対応できるようになります。
例えば、ある製造業の企業では、「工場の制御システムが停止すると、数億円の損失が発生する」ことが判明し、そのシステムに対するセキュリティ投資を最優先で行う方針を決定しました。
3. 見落としている「影のリスク」を発見できる
企業のIT環境は日々変化しており、気づかないうちに新たなリスクが発生している可能性があります。
