情報セキュリティに関する動向や情報は日々変化しているため、情報セキュリティ管理者は常に情報収集を怠らず、組織にとっての必要性、緊急性などを評価する必要がある。
管理者は主に以下のような情報にアンテナを張って積極的に情報集取に務めるべきだ。
- 情報セキュリティ機関などから提供される情報
- 最新の脅威と事故に関する情報
- 報道、商業誌などからの情報や事故事例
- 法令、規程や、社会通念の変化、コンプライアンス上の課題など
なお、公的な情報セキュリティ機関と制度には次のようなものがある。
コンテンツ
情報セキュリティ機関
ウイルスや不正アクセスなどによる被害状況の把握、有益な情報発信、啓発活動などを行う機関として次のようなものがある。
- IPAセキュリティセンター
- JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)
- NISC(内閣サイバーセキュリティセンター)
- CRYPTREC(暗号技術評価プロジェクト)
サイバーセキュリティ戦略本部
サイバーセキュリティ基本法に基づいて設置された日本のセキュリティ組織で、内閣官房長官を本部長として次の役割を担う。
- サイバーセキュリティ戦略案の作成
- 政府機関などの防御施策評価
- 重大事象の施策評価
- 各府省の施策の総合調整
情報セキュリティ早期警戒パートナーシップ
経済産業省の「ソフトウェア等脆弱性関連情報取扱基準」の告示を踏まえ、国内におけるソフトウェアなどの脆弱性に関する情報を流通させるために作られた枠組みで、IPAやJPCERT/CCなどの機関がガイドラインを策定・運営している。
JVN
情報セキュリティ早期警戒パートナーシップ制度に基づき、脆弱性に関連する情報や対策情報を公表しているポータルサイトで、JPCERT/CCとIPAが共同で運営している。