GRC・リスク管理(Governance, Risk, Compliance)
GRC とは
Governance(ガバナンス)・Risk(リスク管理)・Compliance(コンプライアンス)の総称。
技術的な脆弱性対策だけでなく、組織としてセキュリティをどう管理するかを扱う領域。
| 要素 | 問い | 例 |
|---|---|---|
| Governance | 誰がどのようにセキュリティを方向づけるか | セキュリティポリシー・経営層の責任 |
| Risk | どのようなリスクが存在し、どう対処するか | リスクアセスメント・リスク受容の判断 |
| Compliance | 外部の規制・標準をどう満たすか | ISO 27001 認証・GDPR 準拠 |
リスク管理の基礎
リスクの定義
リスク = 脅威 × 脆弱性 × 資産価値
例:
脅威: ランサムウェア攻撃
脆弱性: 古いOSにパッチが当たっていない
資産価値: 本番DBサーバー(顧客データを保有)
→ リスクは高いリスクアセスメントのプロセス
①資産の特定
→ 何を守るか(システム・データ・プロセス)
②脅威の特定
→ 誰が・何が脅威か(外部攻撃者・内部不正・自然災害)
③脆弱性の特定
→ どんな弱点があるか(脆弱なパスワード・未パッチ・設定ミス)
④リスクの評価
→ 発生可能性 × 影響度 でスコアリング
⑤対応策の選択
→ 4つのリスク対応オプションから選択
⑥モニタリング
→ 残留リスクと対応策の継続的な見直しリスク対応の4オプション
| オプション | 内容 | 例 |
|---|---|---|
| 軽減(Mitigation) | 対策を講じてリスクを低減する | パッチ適用・WAF導入 |
| 移転(Transfer) | 第三者にリスクを転嫁する | サイバー保険・クラウドへのアウトソース |
| 回避(Avoidance) | リスクの原因となる活動をやめる | 脆弱なシステムの廃止・機能の削除 |
| 受容(Acceptance) | リスクを承知した上で何もしない | 低リスク・修正コストが便益を上回るケース |
NIST Cybersecurity Framework(CSF)
米国国立標準技術研究所(NIST)が策定した、組織のサイバーセキュリティ管理フレームワーク。
2024年に CSF 2.0 が公開され、Govern(ガバナンス) が新たな中心軸として追加された。
CSF 2.0 の6つのコア機能
┌─────────────────────────────────┐
│ GOVERN(統治) │ ← 2.0 で新規追加。全機能を横断
└─────────────────────────────────┘
↓ ↓ ↓
┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐
│IDENTIFY │ │PROTECT │ │DETECT │ │RESPOND │ │RECOVER │
│(特定) │ │(防御) │ │(検知) │ │(対応) │ │(復旧) │
└──────────┘ └──────────┘ └──────────┘ └──────────┘ └──────────┘| 機能 | 内容 |
|---|---|
| Govern | セキュリティのリスク管理戦略・ポリシー・役割・責任の確立 |
| Identify | 資産・リスク・サプライチェーンの把握 |
| Protect | アクセス制御・データ保護・セキュアな設定の維持 |
| Detect | 継続的な監視・異常検知 |
| Respond | インシデント対応計画の実行 |
| Recover | 復旧・事後改善・コミュニケーション |
成熟度ティア
| ティア | 名称 | 特徴 |
|---|---|---|
| Tier 1 | Partial | アドホックで反応的。セキュリティが組織的でない |
| Tier 2 | Risk Informed | リスク意識はあるが組織全体への統合が不十分 |
| Tier 3 | Repeatable | 正式なポリシーと継続的な改善プロセスがある |
| Tier 4 | Adaptive | 脅威に応じて動的に対応。業界全体での情報共有 |
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の国際標準。
2022年に最新版(ISO/IEC 27001:2022)が公開。
PDCA サイクル
ISO 27001 は ISMS を PDCA サイクルで継続的に改善する。
Plan(計画):
リスクアセスメント実施 → セキュリティ目標・対策の設定
Do(実施):
管理策(Annex A の 93 の対策)を実装・運用
Check(点検):
内部監査・マネジメントレビュー・パフォーマンス評価
Act(改善):
不適合への対処・継続的改善Annex A の主要管理策カテゴリ(2022年版)
| カテゴリ | 管理策数 | 主要な内容 |
|---|---|---|
| 組織的管理策 | 37 | セキュリティポリシー・役割・サプライチェーン |
| 人的管理策 | 8 | セキュリティ教育・人事プロセス |
| 物理的管理策 | 14 | 入退室管理・機器の保護 |
| 技術的管理策 | 34 | アクセス制御・暗号・マルウェア対策・監視 |
認証取得のプロセス
①スコープ定義 → ②リスクアセスメント → ③管理策の選択・実装
→ ④内部監査 → ⑤マネジメントレビュー → ⑥外部審査(認証機関)
→ ⑦認証取得(3年間有効・毎年サーベイランス審査)CIS Controls v8
Center for Internet Security が策定した、優先度付きのセキュリティ対策リスト。
NIST CSF や ISO 27001 が「何をすべきか」を定義するのに対し、
CIS Controls は「最初に何をすべきか」の優先順位を与える。
3つの実装グループ
| グループ | 対象 | Controls数 |
|---|---|---|
| IG1(基本) | 中小企業・セキュリティリソースが少ない組織 | 56 セーフガード |
| IG2(標準) | 専任のIT担当者がいる組織 | 74 セーフガード追加 |
| IG3(高度) | セキュリティ専門家がいる組織 | 43 セーフガード追加 |
CIS Controls の上位5つ
| Control | 内容 |
|---|---|
| CIS-1 | エンタープライズ資産のインベントリと管理 |
| CIS-2 | ソフトウェア資産のインベントリと管理 |
| CIS-3 | データ保護 |
| CIS-4 | エンタープライズ資産・ソフトウェアのセキュアな設定 |
| CIS-5 | アカウント管理 |
主要な規制・コンプライアンス
GDPR(一般データ保護規則)
EU の個人データ保護規制。EU 居住者のデータを扱う全組織に適用される。
| 要件 | 内容 |
|---|---|
| 目的の限定 | 収集した目的以外にデータを使用しない |
| データ最小化 | 必要最小限のデータのみ収集する |
| 忘れられる権利 | 本人からの要求でデータを削除する |
| 侵害通知 | 漏洩を知ってから72時間以内に当局に通知 |
| DPO | データ保護責任者(DPO)の設置義務(一定規模以上) |
違反時の制裁金:全世界年間売上高の 4% または 2,000万ユーロ の高い方。
個人情報保護法(日本)
2022年改正により GDPR に近い規制に強化。
| 強化点 | 内容 |
|---|---|
| 漏洩報告の義務化 | 個人情報保護委員会と本人への通知が義務に |
| 利用停止等の権利 | 本人が利用停止・削除を請求できる範囲の拡大 |
| 外国への移転規制 | 十分な保護措置のない外国への移転を制限 |
| 仮名加工情報 | 新しいデータ分類(匿名より安全性は低い) |
SOC 2(Service Organization Control 2)
クラウドサービス提供者が対象。Trust Service Criteria(TSC)への準拠を監査する。
| Type | 内容 |
|---|---|
| SOC 2 Type I | 特定時点でのコントロール設計の適切性を証明 |
| SOC 2 Type II | 一定期間(通常6〜12ヶ月)にわたる運用有効性を証明 |
5つのTSC:セキュリティ・可用性・処理の完全性・機密性・プライバシー。
PCI DSS(Payment Card Industry Data Security Standard)
クレジットカードデータを扱う組織に適用。
12の要件:ファイアウォール設置・デフォルトパスワード禁止・保存データの暗号化・
アクセスログの維持・脆弱性管理・セキュリティポリシーの策定など。
セキュリティポリシーの構造
組織のセキュリティを文書化する階層。
セキュリティポリシー(方針)
← 「なぜ」「何を」守るかの経営判断。変更頻度は低い
例: 「全社員は情報資産を適切に保護しなければならない」
↓
標準(Standards)
← 「どのレベルで」の具体的な基準
例: 「パスワードは12文字以上、MFAを必須とする」
↓
手順(Procedures)
← 「どのように」の具体的な操作手順
例: 「パスワードリセットの手順書」
↓
ガイドライン(Guidelines)
← 推奨事項(強制ではない)
例: 「パスワードマネージャーの使用を推奨する」セキュリティ成熟度モデル
CMMC(Cybersecurity Maturity Model Certification)
米国防総省のサプライチェーン向け。3段階で成熟度を評価。
SSE-CMM / C2M2
成熟度を段階的に評価し、改善ロードマップを作成するモデル。
「今どのレベルにいるか」「次のレベルに上がるために何が必要か」を構造化する。
レベル0: 実践なし
レベル1: 初期(場当たり的)
レベル2: 管理(計画的・追跡可能)
レベル3: 定義(標準プロセスあり)
レベル4: 定量管理(測定可能)
レベル5: 最適化(継続的改善)参考文献
- NIST『Cybersecurity Framework 2.0』(2024, 無料公開)— 最新版CSFの公式文書
- ISO/IEC 27001:2022 — ISMS の国際標準(有償)
- CIS『CIS Controls v8』(2021, 無料公開)— 優先度付きのセキュリティ対策リスト
- COSO『Enterprise Risk Management Framework』(2017)— GRC のリスク管理フレームワークの標準
- 個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン』— 日本語の公式解説
- 1. 🔒セキュリティ概要・学習ロードマップ
- 2. 🎯脅威モデリング(Threat Modeling)
- 3. 🏛️セキュリティ設計原則
- 4. 🕳️OWASP Top 10
- 5. 🔑認証・認可(Authentication & Authorization)
- 6. 🔐暗号の基礎(Cryptography)
- 7. 🌐ネットワークセキュリティ
- 8. ☁️クラウドセキュリティ
- 9. 🔄DevSecOps / Shift Left
- 10. 🚨インシデントレスポンス(Incident Response)
- 11. 🗡️ペネトレーションテスト(Penetration Testing)
- 12. 🗺️MITRE ATT&CK フレームワーク
- 13. ⚖️GRC・リスク管理(Governance, Risk, Compliance)
- 14. 🦠マルウェア分析基礎(Malware Analysis)
出典: NIST Cybersecurity Framework 2.0(2024)/ ISO/IEC 27001:2022 / CIS Controls v8(2021)/ COSO ERM Framework(2017)/ 情報セキュリティマネジメントシステム(ISMS)概説