「Tier 1：Supporter」-“Starter”のデジタル成熟度を有する組織、”デジタルネイティブ”なスタートアップを含む小規模／マイクロエンタープライズ
「Tier 2：Practitioner」-“Starter”のデジタル成熟度を有する組織、小規模／中堅組織
「Tier 3：Promoter」-“Literate”のデジタル成熟度を有する組織、中堅／大規模組織
「Tier 4：Performer」-“Performer”のデジタル成熟度を有する組織、大／中堅規模組織
「Tier5：Advocate」-先導的なデジタル成熟度を有する組織、大規模組織またはそれらで活動している人／規制セクター向けのプロバイダー

　図3は、各サイバーセキュリティ対応準備段階とサイバートラストマークのセキュリティ管理策の関係をマッピングしたものである。

図3　サイバートラストマークのセキュリティ管理策［クリックで拡大］出所：Cyber Security Agency of Singapore 「Cloud Security for Organisations」（2025年1月20日更新）を基にヘルスケアクラウド研究会作成

　この中でスタートアップ期の小規模企業が該当する「Tier 1：Supporter」についてみると、以下の10項目のセキュリティ管理策をマッピングしている。

［サイバーガバナンスと監視］
- 3．リスクマネジメント
- 5．コンプライアンス
［サイバー教育］
- 7．トレーニングと意識向上*
［情報資産保護］
- 8．資産管理*
- 9．データ保護とプライバシー*
- 10．バックアップ*
- 12．システムセキュリティ*
- 13．ウイルス対策／マルウェア対策*
［セキュアなアクセスと環境］
- 15．アクセス制御*
［サイバーセキュリティレジリエンス］
- 22．インシデント対応*

　上記のうち、*の付いた項目は、SaaSセキュリティに係るサイバーエッセンシャルズマークと共通の管理策になるので、SaMD／Non-SaMDを開発、提供する企業も、利用するクラウドインフラストラクチャプロバイダーの管理策について掌握しておくことが望ましい。

　そして表1は、Tier 1からTier 5に至る組織のデジタル成熟度の成長段階に応じた追加的なセキュリティ管理策を示したものである。

表1　組織のデジタル成熟度に応じたサイバートラストマークの追加セキュリティ管理策［クリックで拡大］出所：Cyber Security Agency of Singapore 「Cloud Security for Organisations」（2025年1月20日更新）を基にヘルスケアクラウド研究会作成

　一般的にクラウドインフラストラクチャを提供するメガクラウドサービス事業者の場合、既に「Tier 5：Advocate」レベルのセキュリティ管理策を装備しており、膨大な量のセキュリティ関連資料をユーザー向けに公開している。これに対してスタートアップ期のSaMD／Non-SaMD事業者は、セキュリティ管理に係る組織づくりや技術的対策が発展途上にあり、メガクラウドサービス事業者やエンドユーザーとの間にギャップが存在するのが普通だ。従ってSaMD／Non-SaMD事業者は、自社のデジタル成熟度を認識した上で、その成長度合いに応じたセキュリティ管理策の優先順位付けを行い、継続的に向上させていく必要があろう。

　なお、サイバートラストマーク版コンパニオンガイドの一環として、「サイバートラスト向けAWSクラウドセキュリティコンパニオンガイド」（関連情報、PDF）、「サイバートラスト向けファーウェイクラウドセキュリティコンパニオンガイド」（関連情報、PDF）も公開されている。

IoTから医療機器に拡張されたサイバーセキュリティラベリング制度

前のページへ 1|2|3|4 次のページへ