ベースラインアプローチ 【baseline approach】
概要
ベースラインアプローチ(baseline approach)とは、組織内の情報セキュリティについての現状把握を行う手法の一つで、既存のガイドラインを参照するなどして望ましいセキュリティレベルを設定し、そこからの乖離を調べていく方式。情報システムや組織のシステム運用体制が実現すべきセキュリティの水準(ベースライン)を策定し、現在の状況がこれを満たしているか否かを検証する。ベースラインの策定にはPCI DSSやISO 27001など公開されている業界団体のガイドラインや標準規格などを活用する。
評価手法としてはアンケートやチェックリストを作成して項目ごとに基準を満たしているか否かを判定していく方法を取ることが多い。適合しなかった項目について対策や改善を行い、ベースラインを完全に満たすことを目標とする。
低コストで実施でき、目標が明確になるという利点がある一方、各種ガイドラインは一般的なシステムや組織を想定したものであるため、自社の組織やシステムの特性や置かれた環境に見合っているか(要件が高すぎないか、低すぎないか)は慎重に検討する必要がある。
(2021.5.7更新)