Special Issue
<BCN CONFERENCE 2019 冬>ゾーホージャパン セキュリティ商材の提案に使える世界標準 商談にも「セキュリティフレームワーク」の活用を
2020/02/20 09:00
週刊BCN 2020年02月17日vol.1813掲載
「セキュリティ対策」というと、まずセキュリティ製品の導入、ITベンダーにとってセキュリティ商材の販売が思い浮かぶが、曽根氏は「製品自体を提案するのではなく、なぜ対策が必要なのか、どういう観点に注目して対策すべきかを伝える」ことが重要であり、フレームワークを活用しながら説明することによって、結果的に成約率も高くなると指摘する。
講演では、日本でも多くの組織が導入している代表的なフレームワークとして、米国国立標準研究所(NIST)の「NIST Cyber Security Framework(CSF)」や「NIST SP800」シリーズ、経済産業省の「サイバーセキュリティ経営ガイドライン」、米国非営利組織Center for Internet Securityの「CIS Control」が紹介された。
これらのうち、CSFとサイバーセキュリティ経営ガイドラインは、組織の人やプロセスに着目した基本的なコンセプトが中心となっているのに対し、SP800やCIS Controlは、システムやデータを保護するための具体的な方法を要件として規定する、よりテクニカルな内容になっているのが特徴となる。また、CSFは組織の現在のセキュリティ体制の成熟度や、目標とするセキュリティレベルをプロファイル化できる構成になっており、自社の現状と目指す水準の間にあるギャップを可視化し、段階的にセキュリティを高めていけるのが利点という。
同社では、IT運用管理ソフト「ManageEngine」シリーズを提供しており、各フレームワークで求められている機能要件を満たすためのさまざまなツールを揃えている。さらに、サイバーセキュリティ経営ガイドラインの実施状況を評価するためのチェックリストなど、フレームワークを実践するためのコンテンツを用意している。
最初からフレームワークを完全に理解するのは難しいが、それらのコンテンツを利用することで無理なく成熟度を高めていける。
- 1
関連記事
DX時代に必要なセキュリティ対策、BCN Conference 2019 冬
ゾーホー、サイバーセキュリティ経営ガイドラインを理解できる動画を公開