ISCMの定義された背景として
セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。
「ISO/IEC 27005」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が策定した情報セキュリティ管理とリスク管理プロセスにかかわる作業を規格化したガイドラインです。ISO27005では、情報セキュリティリスク管理プロセスを以下のように定義しています。
- 状況規定=リスク管理の境界を定義
- リスク分析(リスク特定/評価の段階)=リスクの程度を評価
- リスク調査(リスク分析/評価の段階)=意志の決定と、組織の目標考慮
- リスク対応(リスク対応/許容の段階)=リスクの低減、状態維持、回避、移動
- リスク情報の伝達=意志決定の担当者とそのほかの関係者との間で、リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
- リスク監視/レビュー=早い段階で組織の視点から好機を捉えることと、刻一刻と変わるリスク状況を随時把握しておくこと
なお、「ISO/IEC 27000シリーズ」は情報セキュリティ管理におけるセキュリティ対策を網羅しており以下のようなものがあります。
- ISO/IEC 27001(組織のISMSを認証するための要求事項)
- ISO/IEC 27002(ISMS実践のための規範)
- ISO/IEC 27005(情報セキュリティのリスクマネジメント)
- ISO/IEC 27006(認証/登録プロセスの要求仕様)
ISCMについて
ISCM(Information Security Continuous Monitoring)は、リスク管理を支援するために、情報セキュリティ、脆弱性、脅威を継続的にモニタリングするためのフレームワークであり、NIST SP800-137として公開されています。ISCMは上記ISOリスク管理プロセスのモニタリングに相当する機能で、NIST SP800-137では、ISCMの導入プロセスや、監視を自動化する対象領域(11領域)を解説しています。
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-137.pdf
ISCM導入プロセス(Google翻訳)
- 定義
資産に対する明確な可視性、脆弱性の認識、最新の脅威情報、ミッション/ビジネスへの影響を維持するリスク許容度に基づいてISCM戦略を定義します。 - 確立
メトリクス、ステータス監視頻度、制御評価頻度、およびISCM技術アーキテクチャを決定するISCMプログラムを確立します。 - 実装
ISCMプログラムを実装し、メトリック、評価、レポートに必要なセキュリティ関連情報を収集します。可能な場合、データの収集、分析、およびレポートを自動化します。 - 分析と報告
収集されたデータを分析し、調査結果を報告して、適切な対応を決定します。既存の監視データを明確化または補足するために、追加情報を収集する必要がある場合があります。 - 対応
技術、管理、および運用の軽減活動または受け入れ、移転/共有、回避/拒否で調査結果に対応する。 - レビューと更新
監視プログラムのレビューと更新、ISCM戦略の調整と測定機能の成熟により、資産の可視性と脆弱性の認識を高め、組織の情報インフラストラクチャのセキュリティのデータ駆動型制御を可能にし、組織の回復力を高めます。
ISCMが自動化対象とする領域
参考にさせていただいたサイト
http://lab.iisec.ac.jp/~goto_lab/publication/2014/20140121_SCIS2014_osanai.pdf
https://www.e-nsr.com/data_files/view/5