セキュリティ対策の記入ガイド¶
概要¶
このガイドでは、導入ガイドで「AIで生成」した「自社の取り組み状況」をもとに、内容の確認・修正、証跡添付、AI確認、確定、タスク化を進める流れを確認できます。
AIの下書きをそのまま完成扱いにするのではなく、次の3点を確認します。
- 自社で実施している内容か
- 証跡や運用記録で説明できるか
- 不足している対策をタスクや社内調整につなげられるか
各機能の詳細な仕様や操作方法は、このマニュアルの各ページを参照してください。
前提¶
このフェーズは、導入ガイドの内容が一通り終わっていることを想定しています。
- 導入ガイドで各評価基準の「AIで生成」が完了していること
- 各評価基準の「自社の取り組み状況」に、すでにAIで生成された内容が反映済みであること
- 社内規程がアップロード済みであること
全体の流れ¶
| 順番 | 作業 | 目的 |
|---|---|---|
| 1 | 評価基準を開く | 要求事項、解説、回答例を確認する |
| 2 | 生成内容を確認・修正する | 実態と違う内容、未実施の内容を直す |
| 3 | 運用の記録を添付する | 必要に応じて、文章で参照する証跡を用意する |
| 4 | AIで確認する | 保存済みの取り組み内容と運用の記録をABCで判定する |
| 5 | 確定またはタスク登録を行う | 対応済みとして管理するか、未対応・要調整の作業を残す |
| 6 | セキュリティ施策・改善を実施する | 足りない対策を実際の改善につなげる |
1. 評価基準を開く¶
左メニューの「セキュリティ対策」からカテゴリを選び、対象の評価基準を開きます。最初に「要求事項」と「解説」を読み、何を満たす必要があるかを確認してから取り組み内容の修正に入ります。
2. 生成済みの内容を確認・修正する¶
「自社の取り組み状況」に反映済みのAI生成内容が、自社の実態と合っているかを確認します。AI生成内容は回答例・社内規程・他の評価基準の取り組み状況をもとに作られているため、未実施の内容が含まれる場合があります。実態に合わせて修正します。
本文では「何をしているか」を簡潔に書き、詳細は運用の記録として添付します。
活用のヒント!
運用の記録を添付しただけではAI確認に活きません。本文の中で「どの記録に記載しているか」を参照する書き方にすると、AIが取り組み内容を正しく読み取ります。
3. 運用の記録を添付する¶
取り組み内容を文章だけで説明しきれない場合は、規程・台帳・記録・手順書・画面証跡などの証跡ファイルを添付します。「実施している」と書く場合は、それを示せる記録があるか確認します。
証跡がない場合は無理に実施済みとせず、タスク化します。
詳細は、セキュリティ対策 - 運用の記録 を参照してください。
4. AIで確認する¶
修正内容を「下書き保存」または「確定」してから「AIで確認」を実行します。未保存の変更がある間はボタンが押せません。
AI確認結果は、A(すべて満たす)・B(一部のみ)・C(大きく不足)の3段階で判定されます。B・Cの場合はAIの指摘をもとに記載を修正し、Aになるまで繰り返します。
AI確認結果は最終判断ではなく、修正の参考です。詳細は、セキュリティ対策 - AIで確認 を参照してください。
5. 確定またはタスク登録を行う¶
AI確認結果が「A」になり、内容と証跡がそろったら「確定」します。対応が不足している場合はタスクとして残します。
- 一通り記載内容を確認し、実態と合っている状態になったら「確定」します。
- 審査前に、すべての評価基準を「確定」にしておくことをお勧めします。
- 「確定」すると編集や「AIで確認」ができなくなりますが、いつでも解除できます。
詳細は、セキュリティ対策 - 自社の取り組みの状況の「下書き保存」と「確定」 と セキュリティ対策 - タスク を参照してください。
6. セキュリティ施策・改善を実施する¶
確認の結果、足りない対策が見つかった場合は、StarQuest上の記載修正だけで終わらせず、実際の改善に進めます。
| 改善テーマ | 実施すること |
|---|---|
| 社内調整 | 関係部門との合意、運用開始日の決定 |
| システム導入 | 必要なセキュリティサービスの検討・導入 |
| 体制構築 | 役割、責任者、承認者、報告先の明確化 |
| ドキュメント作成 | 規程、台帳、手順書、チェックリストの作成 |
| 点検・テスト | 決めたことが実施できるかの確認 |
| 証跡整備 | 実施記録、スクリーンショット、議事録の保存 |
次の作業は時間がかかりやすいため、早めにタスク化します。
- 社内規程の新規作成
- アクセス権台帳や委託先台帳の棚卸し
- インシデント対応体制の整備
- バックアップ復旧テスト
- ログ監視や検知体制の整備
- 取引先への確認や追加資料の回収
- 全社員向け周知や教育
活用のヒント!
不足している対策の進め方や、証跡として何を残すべきか迷った場合は、AIと取り組む で相談できます。AIの回答を参考にしつつ、最終的な対応方針は社内の実態や関係者との合意に基づいて決めてください。
進め方の単位¶
- 1カテゴリを選ぶ
- 評価基準を1件開く
- 生成済みの内容を実態に合わせて確認・修正する
- 必要に応じて運用の記録を添付する
- AIで確認し、判定を見る
- 未対応ならタスク化する
- 問題なければ確定する
- 次の評価基準に進む
活用のヒント!
最初から全項目を完了させようとする必要はありません。まずは1項目だけでも「生成済み内容の確認・修正、運用の記録の添付、AI確認、確定」の流れを体験することが大切です。
その後は、カテゴリ単位、または担当部門単位で区切って進めると、未確認の内容が混ざりにくくなります。
このフェーズの完了イメージ¶
各評価基準について、次の状態になっていることが目標です。
- 取り組み内容が自社の実態と一致している
- 必要な運用記録が添付されている
- 未対応の内容がタスク化されている
- 対応済みの項目が確定されている
活用のヒント!
StarQuest上の入力は、審査対応のためだけでなく、自社のセキュリティ運用を整えるための作業として扱います。