ニューリジェンセキュリティでは、各組織が直面するサイバーセキュリティリスクへの対応を支援するサービスを提供していますが、事業環境が異なる組織に実効性が高いセキュリティ対策を実装するのは簡単なことではありません。
組織が積極的にセキュリティ対策に取り組みたいという姿勢が強くなってきましたが、予算や体制面等リソースの課題によりセキュリティ対策を思うように実装できないことや、異なる取引先から異なるセキュリティ水準が要求されることもあり、セキュリティ体制1つ考えても具体的に運用ができる状況に落とし込むのが難しい状況になっています。また、産業構造に目を向けたサプライチェーンリスクに対応するべく、日本国内の組織においてもセキュリティ体制整備が一層必要に迫られてきていますが、諸外国で議論・検討が進んでいるサイバーセキュリティ対策の格付けが日本の中でも議論されている中、自組織は何をどこまで対応する必要があるか課題感を持つ組織が増えています。*1
日本のサイバーセキュリティ活動を支援する活動
そのような状況の中、ニューリジェンセキュリティも参加しているサイバーセキュリティイニシアティブジャパン(以下CSIJ)*2では、日本の市場特性を考慮した効果的なサイバーセキュリティ対策の普及と実施を目指している活動が行われております。CSIJは、日本国内の企業が直面するサイバーセキュリティリスクへの対策を支援する任意団体であり、社会や産業構造の変化、DX化に伴うリスクに対応するための、企業に必要かつ現実的な「サイバーセキュリティ対応」の提言を行っています。また、提言だけではなく、セキュリティ対策の実装支援、人材育成に必要な活動、最新のサイバーセキュリティに関する情報発信等も行っています。
共通評価フレームワークの特徴
それらの活動の中で、セキュリティ対策の実装支援を行う目的で策定された共通評価フレームワークが「クラウド版」「OT版」「セキュリティ体制版」として策定されています。これらの共通評価フレームワークを使用することで、組織の現在のセキュリティの取り組みや管理状況が可視化され、課題を浮かび上がらせることで、あるべき姿とのフィットギャップを把握できます。共通対策評価フレームワークの使用方法は、CSIJが用意したWebサイト上のアンケートフォームに、組織の現状の取り組み状況を入力する必要があります。そのため、あらかじめ各共通評価フレームワークで可視化したい内容について事前に組織内で情報収集を行う必要があります。なお、共通評価フレームワークの利用には利用者IDが必要になります。利用者IDの発行は、各CSIJ会員企業にお問い合わせください。*3
共通評価フレームワーク(セキュリティ体制版)の紹介
今回は共通評価フレームワークの1つ、「セキュリティ体制版」を紹介します。この共通評価フレームワークを使うことで、組織のセキュリティ体制、インシデント対応を推進する体制について評価することができます。組織のセキュリティを強化していくことが重要なのはわかっているが、「何から手を付けて良いのか分からない」、「どこまで対策すれば安心なのか分からない」という場合、はじめにセキュリティの体制づくりに取り組むことを推奨します。このセキュリティ体制版では、約30問の設問に答えることで、現状のセキュリティ体制を可視化することができますので、仮想組織を想定して実際に設問に回答したいと思います。
初めに組織構成の設問が用意されていますので、中堅・中小企業における製造業を想定してみました。セキュリティ体制としては、情報セキュリティマネジメントシステム等セキュリティに関わる第三者認証は取得しておらず、業界のガイドラインや取引先の要求に応じて、個別最適な取り組みをしている想定にしました。
企業属性 | 従業員数 | 売上高 | セキュリティに関わる認証取得 |
---|---|---|---|
製造業 | 300人 | 50億 | なし |
表1:仮想組織の想定
次にセキュリティ担当部門の設置、セキュリティ規定類の整備状況、リスク評価等の取り組みに関する設問に対応するため、以下の想定を行いました。この設問に対応することでセキュリティ管理者の有無、セキュリティ上のリスク評価の実施状況、規定類の整備等の現状を把握することができます。今回の想定では、セキュリティ担当部門は総務部とし、情報システム部がサポート部門としました。情報セキュリティ委員会等を設置し、組織全体がセキュリティ活動に取り組むということではなく、部分的なセキュリティ体制をイメージしています。
項目 | 内容 |
---|---|
セキュリティ管理者の設置 | 総務部が担当 |
セキュリティの最新脅威の把握、経営層へ連携する役割 | 総務部や各部門が独自で把握するものの、経営層へ連携する役割は無い |
セキュリティ施策を実行する際に、経営者からの指示を受ける役割・担当者 | 存在する(総務部が担当) |
セキュリティ上のリスクの評価 | 総務部や情報システム部が担当しているが、すべての部門においてリスクの評価はできていない。 |
組織内でサイバーセキュリティのルールの有無 | セキュリティに関する役割や体制の整備、PCや情報システムのセキュリティ対策は整備しているが、保護すべき情報の定義やサイバー空間からの攻撃を受けた場合の対応方法は未整備 |
BCPの策定状況 | 人命や業務に関するBCPは定めているがIT・セキュリティの観点は含めていない |
表2:仮想組織におけるセキュリティ担当等の想定
次は、インシデントレスポンスにおける検知、対応、復旧に関する設問へ対応する想定を、以下のように想定しました。何かしらセキュリティ事故が発生した場合、インシデント対応窓口は総務部門に存在し、問題を認知した場合、組織内の情報システム部門と協力して、影響範囲や問題点の調査を行う想定です。
項目 | 内容 |
---|---|
インシデント管理部門 | 総務部が担当 |
セキュリティ事故対応時に相談する外部ベンダーの確保 | 外部に相談するベンダーは存在しない。もし、セキュリティ事故が発生した場合は、総務部が影響範囲や問題点の調査を行う |
セキュリティ事故対応時に内部で対応できる体制 | 総務部のセキュリティ担当が対応することになっているが、専門的なコンピューター調査を行うことはできない |
セキュリティ事故が発生した際、報告を受ける窓口 | 総務部長 |
複数個所でサイバー攻撃被害が同時に発生した場合の優先順位 | 優先順位の基準は持っていない |
セキュリティ事故発生時の上層部の関与 | 被害が大きい場合、上層部へ報告し指示を受けることになっている |
所管省庁やマスコミ対応 | 部外への連絡フローは存在しない |
不正通信やPCの監視 | システムやネットワークのログは取得しているが監視できる仕組みは存在しない |
セキュリティ事故発生を想定した定期的な訓練 | 総務部が対応するセキュリティ事故対応手順書は存在するが、定期訓練は実施していない |
システムの復旧 | バックアップは取得している。システム復旧手順は整備しているが、優先順位は考慮していない |
表3:仮想組織におけるインシデントレスポンス体制等の想定
最後に従業員に対する教育やシステムの状況把握の設問に対応する想定を、以下の通りとしました。従業員にはセキュリティの意識向上を行うものの、セキュリティ管理者向けには予算的な制約を受けているため外部の専門的な教育受講の機会は用意しない想定です。また、システムの把握やセキュリティ情報の収集も予算や人的リソースの制約があり、一部の実施としています。
項目 | 状況 |
---|---|
従業員のセキュリティ意識向上 | 従業員へセキュリティの関連規定を習熟させる教育を実施している |
セキュリティ管理者向けの外部セキュリティ教育 | 予算が無いため実施していない |
システムの把握状況 | OA系のOSやソフトウェアは把握している。クラウド等仮想環境や工場等クローズド環境の一部は把握していない |
サイバー攻撃動向や脆弱性の情報収集 | マイクロソフト製品等定期的に脆弱性対応のアップデートが必要なものは情報収集している |
表4:仮想組織における教育実施、システム把握、情報収集体制の想定
共通評価フレームワーク(セキュリティ体制版)による評価レポート
それでは、仮想組織における共通評価フレームワーク(セキュリティ体制版)の評価レポートを見ていきましょう。カテゴリ毎にスコアが集計され、セキュリティ体制に関するコメントがレポートとして出力されます。今回の仮想組織においては、現時点のセキュリティ体制としては「Governance」、「Education」および「Configuration Management」の対策に一部不十分なところがあり、「Incident Response」については不十分という結果になりましたのでコメントの内容を踏まえて、セキュリティ体制の改善を検討する必要がありました。評価レポートについては、コメントによる定性的なアドバイスに加えて、スコアによる定量的な判断材料を組織は把握することができます。
カテゴリ | スコア | コメント |
---|---|---|
Governance | 67% | 現時点では一部対策が不十分な箇所があります。適切なセキュリティ体制を維持するためには、基準となるガバナンス(規程の整備、連絡体制の整備等)が明文化され、それが適切に運用されることが肝要です。いま一度社内でのガバナンスの見直しを実施することを推奨します。例えば、現状のルールの見直し、可視化が必要となってきます。 |
Incident Response | 40% | 現時点で対策が不十分です。インシデントが発生した際に、迅速な対応ができなければ、業務の遂行の停滞や会社の信頼の失墜等のリスクが考えられます。インシデント発生に備え、CSIRTなどのインシデントレスポンス体制構築や、インシデントに係る計画、手順、訓練、サービス停止計画を考える必要があります。 |
Education | 50% | 現時点では一部対策が不十分な箇所があります。適切なセキュリティ体制を維持するにあたって、従業員やセキュリティ管理者、セキュリティ対応担当者の教育は重要です。セキュリティ対策を強固にしていくために、いま一度、教育実施方針についての見直しを推奨します。 |
Configuration Management | 50% | 現時点では一部対策が不十分な箇所があります。自組織のシステムで利用されているHWやSW等のIT資産を定期的に棚卸し、新たな脆弱性が見つかった場合は早急に対応することが重要です。セキュリティ対策を強固にしていくために、いま一度自組織のIT資産の管理運用体制を見直し、脆弱性を確認することを推奨します。 |
表5:カテゴリごとのスコアとコメント
共通フレームワークの評価レポートの活用方法
評価レポートを通じて該当領域に対する広範なチェック項目の中から、ベースラインとなるべき項目を厳選し、リスクの概況を明らかにすることができました。今回はセキュリティ体制版の共通フレームワークを使用することで、自社のセキュリティ体制レベルと必要対策内容を把握することができました。この評価レポートを組織の経営層やサプライチェーンのパートナーへ共有することで現状のセキュリティ体制状況の共有や改善点が必要なところの共通理解を深めることが期待できます。改善活動については評価レポートを活用した有償サービスも会員各社が提供することが可能ですので、何かお困りごとがございましたら、ニューリジェンセキュリティまたは会員各社にお問い合わせください。
終わりに
今回の仮想組織の想定では十分なセキュリティ体制の取り組みと評価されませんでした。ぜひ、皆様の組織でもセキュリティ体制の取り組み状況を把握していただき、現状の可視化や経営層への報告などにご活用いただければ幸いです。
CSIJの活動は、様々なセキュリティサービスを提供する企業の協力のもと行われており、定期的なイベントや分科会を開催し、知識の共有やネットワーキングの場を提供しています。そのため、何か課題が生じた場合は、特定の企業1社だけで問題解決を行うのではなく、会員企業が課題感を共有し、お互いができることを前向きに検討し、最適なソリューションを相談企業に提案することで、企業や社会全体の安全を守ることを目指しています。この記事を読んでCSIJの取り組みについて、ご興味をお持ちいただけましたら、CSIJ事務局にお問い合わせください。