ISMSイメージ.jpg

サイバーセキュリティ

ビジネスを脅かすサイバー攻撃は避けられないリスクです

AdobeStock_78935196.jpeg
サイバーセキュリティ(セキュリティ対策)概要
セキュリティ教育研修コンテンツとしてご利用いただくことが目的です
Cloud for ISMS利用者(会員)は無料でダウンロード可能です

LinkIconCloud for ISMS

サイバーセキュリティは経営問題

サイバーセキュリティ経営ガイドラインより

サイバーセキュリティ経営ガイドラインの背景

積極的にセキュリティ対策を推進する経営幹部がいる企業.png近年、企業が有する個人情報や重要な技術情報等を窃取したり、企業のシステムを停止させたりするサイバー攻撃の件数は増加傾向にあり、約4割の企業がサイバー攻撃を受けた経験があるとされています。また、特定の組織を狙う標的型攻撃を中心としてその手口が巧妙化しており、サイバー攻撃の発覚経緯の約7割は外部からの指摘によるものといったように、実際にはサイバー攻撃による被害を受けていても、そのことに気づいていないという企業がまだ多数存在することも予想されます。
さらに、業務用パソコンのみならず、インフラや工場等の制御システムをはじめ企業が管理する多くのシステムや機器が外部ネットワークにつながるようになっており、サイバー攻撃の影響が実空間にも及ぶようになっています。

企業を取り巻くサイバー攻撃への脅威が増す一方、多くの企業が十分な対策を取れているとは言いがたく、こうした原因の一つに、セキュリティ対策に対して経営者が十分なリーダーシップを発揮していないことが挙げられています。

グラフの通り、我が国においては、積極的にセキュリティ対策を推進する経営幹部が諸外国より大幅に少ないのが現状です。
諸外国では、大半の企業が、サイバー攻撃への対応について取締役レベルで議論すべきと考えているのに対し、我が国においては、意識の高まりは見られるものの諸外国と比較するとまだ低い傾向にあると言われてます。

ガイドライン策定の目的と意図

サイバーセキュリティ経営ガイドライン構成.png企業の競争力を向上させる上で不可欠な積極的なIT投資を進めていく中で、事業の基盤として用いるシステムや営業秘密等重要な情報の事業戦略上の価値・役割を認識し、サイバー攻撃によるリスクへの対処に係る判断を行うことは、経営者が行うべき重要な役割の一つであり、サイバーセキュリティリスクに備えたセキュリティ投資は必要不可欠ですが、セキュリティ投資へのリターンが見えにくい性質のものであるため、経営者がリーダーシップを取らなければ、積極的な対策がされにくいものが現実です。

結果として、企業として十分な対策ができず、また、万が一重大な事象が発生した場合、企業としての対応が後手にまわり、気づかないうちに経営を揺るがす事態に発展することとなります。

企業がIT活用を推進していく中で、経営者が認識すべきサイバーセキュリティに関する原則や、経営者のリーダーシップによって取り組むべき項目について取りまとめたものが、経済産業省(IPA)策定の『サイバーセキュリティ経営ガイドライン』です。

具体的には、経営者のリーダーシップの下での体制整備と対策の進め方、社会やステークホルダーに対する情報開示の在り方等を内容としています。

『サイバーセキュリティ経営ガイドライン』は、企業の経営者を第一義的な読者として想定しており、このガイドラインに基づき、経営者のリーダーシップの下で企業自らがサイバーセキュリティの対応強化に取り組むことを最大の目的としています。

『サイバーセキュリティ経営ガイドライン』は、大企業及び中小企業のうち、ITに関する製品やシステム、サービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業を想定していますが、企業の規模やビジネスモデルによっては、ガイドライン適用が必ずしもサイバーセキュリティ対策として適切ではないケースもありうるとされています。

『サイバーセキュリティ経営ガイドライン』は、経済産業省と独立行政法人情報処理推進機構(IPA)の共催である「サイバーセキュリティリスクと企業経営に関する研究会」において検討が行われ、とりまとめたものです。また、内閣サイバーセキュリティセンター(NISC)では、企業の経営層を対象としてグローバルな競争環境の変化の中でサイバーセキュリティをより積極的な経営への「投資」と位置づけ、企業の自発的な取組を促進するため、サイバーセキュリティの基本的な考え方と企業の視点別の取組方法についてのガイドを示した文書(「企業経営のためのサイバーセキュリティの考え方」)を策定しています。
『サイバーセキュリティ経営ガイドライン』の取組の前提となる考え方を示した文書として、併せて活用することが期待されます。

2,~3.及び付録Aはサイバーセキュリティ対策を実施する上での責任者である担当幹部(CISO等)及びセキュリティ担当者向け、それ以外の付録はセキュリティ担当者向けの参考資料です。

経営者においては、最低限『重要10項目』についてCISO等に指示をすべきであるとされています。
CISO等は、経営者の指示に基づき、『重要10項目』の各解説頁の「対策例」も参考にしつつ、セキュリティ対策の取組みを、セキュリティ担当者に対してより具体的に指示をし、推進することが必要です。

『重要10項目』が、形式上のみならず、実態上、適切に実施されているかどうか確認し、その状況を経営者に対して報告をすることが求められます。こうした確認が可能となるよう付録Aのチェックシートがまとめられています。

必ずしも経営者が全ての確認を行う必要はないものの、技術対策の観点から、CISO等の指示によりセキュリティ担当者が実施することが望ましい項目を付録Bにまとめてあり、企業のセキュリティ担当者が、CISO等と具体的な技術対策について説明や相談をする際の参考資料となることが期待されています。

付録Cに参考として、国際規格ISO/IEC27001及び27002との関係が示されています。
実施すべき対策の確認や、経営者への各項目の検討・実施状況等の報告に活用することが可能です。

付録Dに、『サイバーセキュリティ経営ガイドライン』に使われている用語が解説されており、経営者向けに資料を作成する場合などに活用することが可能です。

内部犯行による情報漏えい等のリスクへの対処については、必要に応じ、「組織における内部不正防止ガイドライン」(IPA)の参照が推奨されています。


サイバー攻撃を受けた企業割合は、独立行政法人情報処理推進機構(IPA)「企業のCISOやCSIRTに関する実態調査2016 調査報告書」より経済産業省が作成

企業経営のためのサイバーセキュリティの考え方は、NISCウェブサイトからダウンロードが可能(http://www.nisc.go.jp/active/kihon/pdf/keiei.pdf)

サイバーセキュリティ経営ガイドライン V.11を引用しています

サイバーセキュリティ経営の3原則

経営者は、以下の3原則を認識し、対策を進めることが重要であるとされています。

経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

CYS01.png
●ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

●サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分ける。

●サイバーセキュリティリスクを多様な経営リスクの中での一つとして適切に位置づけ、その対応方針を組織の内外に明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要である。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要である。


自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要

CYS02.png
●サプライチェーンのビジネスパートナーやITシステム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じうる。
●自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要である。


平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要

CYS03.png
●事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める。
●万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば,関係者や取引先の不信感の高まりを抑え、説明を容易にすることができる。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できる。
●事業のサイバーセキュリティリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。


サイバーセキュリティ経営の重要10項目

1.サイバーセキュリティリスクの認識、組織全体での対応の策定

リーダーシップの表明と体制の構築

サイバーセキュリティリスクの認識、組織全体での対応の策定

サイバーセキュリティリスクを経営リスクの一つとして認識し、組織全体での対応方針(セキュリティポリシー)を策定していますか?

対策を怠った場合のシナリオ

  • 経営者がサイバーセキュリティリスクへの対応を策定し、宣言することにより、組織のすべての構成員にサイバーセキュリティリスクに対する考え方を周知することができる。
  • 宣言がないと、構成員によるサイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。
  • トップの宣言により、株主、顧客、取引先などの信頼性を高め、ブランド価値向上につながるが、宣言がない場合は信頼性を高める根拠がないこととなる。

対策例

  • 経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクマネジメントを考慮したセキュリティポリシーを策定する。

国際規格ISO/IEC27001及び27002との関係
●5.1 リーダーシップ及びコミットメント
●5.2 方針

2.サイバーセキュリティリスク管理体制の構築

リーダーシップの表明と体制の構築

サイバーセキュリティリスク管理体制の構築

サイバーセキュリティ対策を行うため、経営者とセキュリティ担当者をつなぐ仲介者としてのCISO等からなる適切なサイバーセキュリティリスクの管理体制の構築は出来ていますか?
各関係者の責任は明確になっていますか?
防犯対策など組織内のその他のリスク管理体制と整合をとらせていますか?

対策を怠った場合のシナリオ

  • サイバーセキュリティリスクの管理体制が整備されていない場合、サイバーセキュリティリスクの把握が出来ない。
  • CISO等が任命され、権限を付与されていないと、技術的観点と事業戦略の観点からサイバーセキュリティリスクをとらえることができない。仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止等の判断が必要な局面において、経営者レベルでの権限が付与されていないと、適時適切な対応ができない。また、責任の所在が不明となる。
  • 組織内におけるリスク管理体制など他の体制との整合を取らないと、同様の活動を重複して実施することになり、また関連情報の共有ができず、非効率である。
  • 万が一、インシデントが発生した場合、組織としての対応ができず、被害の状況の把握、原因究明、被害を抑える手法、インシデント再発の防止などの対策を組織として取ることができない。

対策例

  • 組織内に経営リスクに関する委員会を設置し、サイバーセキュリティリスクに責任を持った者が参加する体制とする。
  • 組織の対応方針(セキュリティポリシー)に基づき、CISO等の任命及び、組織内サイバーセキュリティリスク管理体制を構築する。
  • CISO等には、組織の事業戦略を把握するため取締役会への参加及び緊急時のシステム停止等の経営者レベルの権限を付与することを検討する。
  • 取締役、監査役はそのサイバーセキュリティリスク管理体制が構築、運用されているかを監査する。

国際規格ISO/IEC27001及び27002との関係
●5.3 組織の役割、責任及び権限
A.6.1.1 情報セキュリティの役割及び責任

3.リスク把握と目標と計画の策定

サイバーセキュリティリスク管理の枠組み決定

サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定

サイバー攻撃の脅威に対し、経営戦略の観点から、守るべき資産を特定させた上で、社内ネットワークの問題点などのサイバーセキュリティリスクを把握させていますか?
その上で、暗号化やネットワークの分離など複数のサイバーセキュリティ対策を組み合わせた多層防御など、リスクに応じた対策の目標と計画を策定させていますか?
また、サイバー保険の活用や守るべき資産について専門企業への委託を含めたリスク移転策も検討した上で、残留リスクを識別させていますか?

対策を怠った場合のシナリオ

  • ITを活用するすべての企業・組織は、何らかのサイバーセキュリティリスクを抱えている。ただし、リスクは、企業の守るべき資産(個人情報や重要技術等)の内容や現在の企業・組織内のネットワーク環境などによって企業ごとに異なる。
  • 企業の経営戦略に基づき、各企業の状況に応じた適切なリスク対策をしなければ、過度な対策により通常の業務遂行に支障をきたすなどの不都合が生じる恐れがある。
  • 受容できないリスクが残る場合、想定外の損失を被る恐れがある。

対策例

  • 経営戦略に基づくさまざまな事業リスクの一つとして、サイバー攻撃に伴うリスク(例えば、戦略上重要な営業秘密の流出による損害)を識別する。
  • 識別したリスクに対し、実現するセキュリティレベルを踏まえた対策の検討を指示する。その際、ITへの依存度を把握した上で、セキュリティの三要件(機密性、完全性、可用性)の観点からリスクを分析する。その結果、リスク低減、回避、移転(サイバー保険の活用や守るべき資産について専門企業への委託等)が可能なものについてはリスク対応策を実施する。例えば、ソフトウェア更新の徹底、マルウェア対策ソフトの導入などによるマルウェア感染リスクの低減策を実施する。また、重要業務を行う端末、ネットワーク、ITシステム又はITサービス(クラウドサービスを含む)には、暗号化や情報資産別のネットワークの分離等の多層防御の実施を検討する。

防御対象の特定とリスクの把握
事業を継続する上で、または法令及び業界内の安全基準等に遵守するために組織として守るべき資産(重要情報、個人情報など)の特定や組織内ネットワーク構成やその問題点などリスクの把握を行うこと。

 対策をしないことのリスクや対策を実施する効果

  • 守るべき資産(重要情報や個人情報など)を予め定めていなかった場合、緊急時の対応をすみやかに判断できず、優先的な対応ができない。
  •  組織内ネットワーク構成の把握を怠っていた場合、初動対応時に重要情報などを適切に守る対策が立てられないため、時間の浪費及び被害拡大を招き、また、被害範囲の特定と原因究明(どこから侵入されているのか)ができないため、事態の長期化を招く

多層防御措置の実施
マルウェア感染の予防のみならず、感染後の被害回避・低減のために複数の対策を多層に重ねる「多層防御措置」を行うこと。

 対策をしないことのリスクや対策を実施する効果

  • 感染防止対策(マルウェア対策ソフト)のみ実施している場合、未知のマルウェアに感染すると、被害をくい止めることができない。
  • マルウェア対策ソフトやネットワーク出口へのファイヤーウォール導入のような1つの機器やソフトウェアに依存するだけではなく、ネットワーク全体での対策を心がけ、侵入→感染→拡大という攻撃フェーズに応じた拡大防止及び緩和を図れる柔軟な対策実施が必要である。 ネットワーク出入り口に設置される機器の各種ログが記録・保存され、またこれを内部あるいは外部監視サービスにより定期的にチェックされていない場合、不正な通信の発生を検知することができない。

LinkIcon高度標的型攻撃」対策に向けたシステム設計ガイド(IPA)
LinkIcon重要な業務や機密情報にはウイルス感染を想定した「多層防御」を(IPA)
LinkIcon組織における内部不正防止ガイドライン(IPA)
LinkIcon高度サイバー攻撃への対処におけるログの活用と分析方法(JPCERT/CC)
LinkIconウェブサイトの攻撃兆候検出ツール iLogScanner(IPA)
LinkIconiLogScannerの概要(IPA)

国際規格ISO/IEC27001及び27002との関係
●6.1 リスク及び機会に対処する活動
●6.2 情報セキュリティ目的及びそれを達成するための計画策定

A5.1.1 情報セキュリティのための方針群
A5.1.2 情報セキュリティのための方針群のレビュー

4.対策フレームワーク構築と対策の開示

サイバーセキュリティリスク管理の枠組み決定

サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

計画を確実に実施し、改善していくため、サイバーセキュリティ対策をPDCAとして実施するフレームワークを構築させていますか?
その中で、監査(または自己点検)の実施により、定期的に経営者に対策状況を報告させた上で、必要な場合には、改善のための指示をしていますか?
また、ステークホルダーからの信頼性を高めるため、対策状況について、適切な開示をさせていますか?

対策を怠った場合のシナリオ

  • PDCA(Plan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善])を実施するフレームワークが出来ていないと、立てた計画が確実に実行されない恐れがある。また、組織のサイバーセキュリティ対策の状況を、最新の脅威への対応ができているかといった視点も踏まえつつ正しく把握し、対策を定期的に見直すことが必要。これを怠ると、サイバーセキュリティを巡る環境変化に対応できず、対策が陳腐化するとともに、新たに発生した脅威に対応するための追加的に必要な対策の実施が困難となる。
  • 適切な開示が行われなかった場合、社会的責任の観点から、事業のサイバーセキュリティリスク対応についてステークホルダーの不安感や不信感を惹起させるとともに、リスクの発生時に透明性をもった説明ができない。また、取引先や顧客の信頼性が低下することによって、企業価値が毀損するおそれがある。

対策例

  • サイバーセキュリティリスクに継続して対応可能な体制(プロセス)を整備する(PDCAの実施体制の整備)
  • その他の内部統制に係るPDCAのフレームワークが存在する場合には、当該フレームワークとの連動も含め、効率的に実施することも可能である。
  • 重点項目2.で設置した経営リスクに関する委員会において、PDCAの実施状況について報告すべき時期や内容を定め、経営者への報告の機会を設けるとともに、新たな環境変化によるサイバーセキュリティリスクが生じていないかを確認する。
  • 必要に応じて監査を受け、現状のサイバーセキュリティ対策の問題点を検出し、改善を行う。
  • 新たなサイバーセキュリティリスクの発見等により、追加的に対応が必要な場合には、速やかに対処方針の修正を指示する。
  • サイバーセキュリティ対策の状況について、サイバーセキュリティへの取組みを踏まえたリスクの性質・度合いに応じて、情報セキュリティ報告書、CSR報告書、サステナビリティレポートや有価証券報告書等への記載を通じて開示を検討する。


PDCAサイクルの実施と改善
SMSの導入やセキュリティ監査の実施によるPDCAサイクルの実施により、現状のセキュリティ対策の改善点を洗い出し、将来の改善計画を立案し実行していくこと。

 対策をしないことのリスクや対策を実施する効果

  • 環境や事業の変化に合わせて、対策の点検や改善を継続していない場合、新たな脅威に対抗できなくなる恐れがある。

各種セキュリティ診断の実施内部におけるセキュリティ対策レビューのほか、専門企業のサービスやツールによるウェブアプリケーションの脆弱性診断やプラットフォーム脆弱性診断を活用し、既存の脆弱性への対処状況の確認や対策実施を行う。
 対策をしないことのリスクや対策を実施する効果

  • 日々、多くの脆弱性が発見され、セキュリティパッチも数多く公開されることから、ITシステムの規模が大きくなった場合、対策漏れが発生する恐れがある。
  • セキュリティ上の欠陥を定期的に検査しなかった場合、その欠陥の把握・対処が遅れることで、第三者に悪用されてマルウェア感染等の被害が発生してしまう。


LinkIconサイバーセキュリティマネジメントシステム適合性評価制度の概要(JIPDEC)
CSMSとISMSの関係.png

LinkIcon組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク
LinkIconウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)
LinkIconMyJVNバージョンチェッカ
LinkIconJNSAソリューションガイド

国際規格ISO/IEC27001及び27002との関係
●7.4 コミュニケーション
●8.1 運用の計画及び管理
●8.2 情報セキュリティリスクアセスメント
●8.3 情報セキュリティリスク対応
●9.1 監視、測定、分析及び評価
●9.2 内部監査
●9.3 マネジメントレビュー
●10.1 不適合及び是正処置
●10.2 継続的改善

A.17.1.1 情報セキュリティ継続の計画
A.17.1.2 情報セキュリティ継続の実施
A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価
A.18.1.1 適用法令及び契約上の要求事項の特定
A.18.2.1 情報セキュリティの独立したレビュー
A.18.2.2 情報セキュリティのための方針群及び標準の順守
A.18.2.3 技術的順守のレビュー

5.パートナーを含めた対策の実施及び状況把握

サイバーセキュリティリスク管理の枠組み決定

系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

自社のサイバーセキュリティが確保されるためには、系列企業やサプライチェーンのビジネスパートナーを含めてサイバーセキュリティ対策が適切に行われていることが重要。このため、監査の実施や対策状況の把握を含むサイバーセキュリティ対策のPDCAについて、系列企業やサプライチェーンのビジネスパートナーを含めた運用をさせていますか?

対策を怠った場合のシナリオ

  • 系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもある。その結果、他社の2次被害の誘因となる恐れや、加害者になる恐れもある。
  • 緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生ずる。

対策例

  • 系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策の内容を契約書等で合意する。
  • 系列企業やサプライチェーンのビジネスパートナーのサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握している。

LinkIcon情報サービス・ソフトウェア産業における下請適正取引等の推進のためのガイドライン(経産省)

国際規格ISO/IEC27001及び27002との関係
●8.1 運用の計画及び管理

6.対策のための資源確保

サイバー攻撃を防ぐための事前対策

サイバーセキュリティ対策のための資源(予算、人材等)確保

サイバーセキュリティリスクへの対策を実施するための予算確保は出来ていますか?
また、サイバーセキュリティ人材の育成や適切な処遇をさせていますか?

対策を怠った場合のシナリオ

  • 適切な予算確保が出来ていない場合、組織内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部のベンダへの委託が困難となる恐れがある。
  • 適切な処遇の維持、改善ができないと、有能なサイバーセキュリティ人材を自社にとどめておくことができない。

対策例

  • 必要なサイバーセキュリティの事前対策を明確にし、それに要する費用を明らかにするよう、指示を行う。
  • セキュリティ担当者以外も含めた従業員向け研修等のための予算を確保し、継続的にセキュリティ教育を実施する。
  • 経営会議などで対策の内容に見合った適切な費用かどうかを評価した上で、予算として承認を得る。
  • サイバーセキュリティ人材を組織内で雇用することが困難な場合は、専門ベンダの活用を検討する。
  • 組織内人事部門に対して、組織内のIT人材育成の戦略の中で、セキュリティ人材育成、キャリアパス構築を指示し、内容を確認する。

LinkIcon情報セキュリティスキル強化についての取り組み(IPA)
LinkIconITのスキル指標を活用した情報セキュリティ人材育成ガイド(IPA)
LinkIcon職場の情報セキュリティ管理者のためのスキルアップガイド(IPA)

国際規格ISO/IEC27001及び27002との関係
●7.1 資源
●7.2 力量

7.外部委託範囲の特定とセキュリティ確保

サイバー攻撃を防ぐための事前対策

ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

サイバーセキュリティ対策を効率的かつ着実に実施するため、リスクの程度や自組織の技術力などの実態を踏まえ、ITシステムの管理等について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせていますか?
また、ITシステム管理を外部委託する場合、当該委託先へのサイバー攻撃等も想定し、当該委託先のサイバーセキュリティの確保をさせていますか?

対策を怠った場合のシナリオ

  • ITシステムなどの運用について、自組織に技術がない場合はシステム管理を十分に行えず、システムに脆弱性が残り、その脆弱性を突いた攻撃を受ける恐れが高まる。
  • 委託先のサイバーセキュリティリスク対応が事業にリスクを及ぼす状況であると、自社のみが対応をしてもリスクにさらされる恐れがある。

対策例

  • 自組織の技術力を踏まえ、各対策項目を自組織で対応できるかどうか整理する。
  • 委託先のサイバーセキュリティリスク対応を徹底するため、委託先のセキュリティレベルを契約書等で合意し、それに基づいて委託先の監査を実施する。
  • 個人情報や技術情報などの重要な資産を委託先に預ける場合は、委託先の経営状況などを踏まえて、資産の安全性の確保が可能であるかどうかを定期的に確認する。

自組織で対応できる対策項目とできない項目の整理
感染端末の調査など自組織では技術的に対応が困難なものについては外部専門機関、セキュリティベンダの力を借りることを予め想定し、①自組織で対応できること、②外部に依頼が必要なこと、を予め切り分けること。また、そのための予算も予め確保すること。

 対策をしないことのリスクや対策を実施する効果

  • 自組織で対応が困難である、高度な解析作業等が実施されない場合、原因究明と被害範囲の確定ができず、事態が長期化または第二波、第三波の攻撃を許してしまう恐れがある。

国際規格ISO/IEC27001及び27002との関係
●8.1 運用の計画及び管理

A.15.1.1 供給者関係のための情報セキュリティの方針
A.15.1.2 供給者との合意におけるセキュリティの取扱い
A.15.1.3 ICTサプライチェーン
A.15.2.1 供給者のサービス提供の管理及びレビュー
A.15.2.2 供給者のサービス提供の変更に対する管理

8.攻撃情報の入手と有効活用のための環境整備

サイバー攻撃を防ぐための事前対策

情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

社会全体において最新のサイバー攻撃に対応した対策が可能となるよう、サイバー攻撃に関する情報共有活動への参加と、入手した情報を有効活用するための環境整備をさせていますか?

対策を怠った場合のシナリオ

  • 情報共有活動への参加により、解析した攻撃手法などの情報を用いて、他社における同様の被害を未然に防止することができるが、情報共有ができていないと、社会全体において常に新たな攻撃として対応することとなり、全体最適化ができない。

対策例

  • 情報の入手と提供という双方向の情報共有を通じて、社会全体でサイバー攻撃の防御につなげることが重要。情報共有を通じたサイバー攻撃の防御につなげていくため、情報を入手するのみならず、積極的な情報提供が望ましい。
  • IPAや一般社団法人JPCERTコーディネーションセンター等による注意喚起情報を、自社のサイバーセキュリティ対策に活かす。
  • CSIRT間における情報共有や、日本シーサート協議会等のコミュニティ活動への参加による情報収集等を通じて、自社のサイバーセキュリティ対策に活かす。
  • IPAに対し、告示(コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準)に基づいてマルウェア情報や不正アクセス情報の届出をする。
  • 一般社団法人JPCERTコーディネーションセンターにインシデントに関する情報提供を行い、必要に応じて調整を依頼する。
  • 重要インフラ事業者の場合には、J-CSIPなどの情報共有の仕組みを利用する。

情報共有活動や公的機関などからの提供情報の活用サイバー攻撃への備えが十分か(世間並みかどうか)判断するために、サイバー攻撃に関する情報共有活動への参加や、公的機関や専門企業が発進する情報を活用すること。また、情報の入手のみならず、情報の提供活動も積極的に行うこと。

 対策をしないことのリスクや対策を実施する効果

  • サイバーセキュリティの分野は攻撃者、防御側ともに日進月歩であり、最新の攻撃手法などの情報を定期的に入手しないと自組織に必要な対策レベルが判断できない。
  • 情報共有や提供活動への参加が不足していた場合、業界全体での対処能力の低下を招いてしまう恐れがある。


LinkIcon脆弱性関連情報の届出受付(IPA)
LinkIconJ-CRAT/標的型サイバー攻撃特別相談窓口(IPA)
LinkIconサイバー情報共有イニシアティブ (J-CSIP) におけるIPAの取り組み
LinkIconサイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)

IPAは、サイバー攻撃による被害拡大防止のため、2011年10月25日、経済産業省の協力のもと、重工、重電等、重要インフラで利用される機器の製造業者を中心に、情報共有と早期対応の場として、サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )を発足させました。その後、全体で8つのSIG(Special Interest Group、類似の産業分野同士が集まったグループ)、115の参加組織による情報共有体制を確立し、現在、サイバー攻撃に関する情報共有の実運用を行っています。

LinkIcon早期警戒情報(JPCERT/CC)

JPCERT/CC では、国民の社会活動に大きな影響を与えるインフラ、サービス及びプロダクトなどを提供している組織における情報セキュリティ関連部署もしくは組織内 CSIRT に向けて、情報セキュリティに関する脅威情報やそれらの分析・対策情報を早期警戒情報として提供しています。

LinkIcon警視庁@Police

国際規格ISO/IEC27001及び27002との関係
A.6.1.3 関係当局との連絡
A.6.1.4 専門組織との連絡

9.緊急時の対応体制の整備と演習の実施

サイバー攻撃を受けた場合に備えた準備

緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施

適切な初動対応により、被害拡大防止を図るため、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアル策定や組織内のCSIRT構築など対応体制の整備をさせていますか?
また、定期的かつ実践的な演習を実施させていますか?

対策を怠った場合のシナリオ

  • 緊急時の対応体制が整備されていないと、原因特定のための調査作業において、組織の内外の関係部署間の情報の共有やコミュニケーションが取れず、速やかな原因特定、応急処置を取ることができない。
  • 緊急時は、定常業務時と異なる環境となり規定された通りの手順を実施することが容易でないことが多い。演習を実施していないと、担当者は、緊急時に適切に行動することが出来ない。

対策例

  • 企業の組織に合わせた緊急時における対応体制を構築する。
  • サイバー攻撃による被害を受けた場合、被害原因の特定および解析を速やかに実施するため、関係機関との連携や、ログの調査を速やかにできるようにしておくよう指示する。また、対応担当者にはサイバー攻撃に対応する演習を実施する。なお、インシデント収束後の再発防止策の策定も含めて訓練を行うことが望ましい。
  • 緊急連絡網を整備する。その際には、システム運用、Webサイト保守・運用、契約しているセキュリティベンダなどの連絡先も含める。
  • 初動対応時にはどのような業務影響が出るか検討し、緊急時に組織内各部署(総務、企画、営業等)が速やかに協力できるよう予め取り決めをしておく。
  • 訓練においては技術的な対応のみならず、プレスリリースの発出や、所管官庁等への報告手順も含めて想定する。

緊急時のための「体制整備」と「被害特定のための準備」

  • 日頃から攻撃を検知・記録する仕組みを構築し、検知時の対応手順を用意しておくこと。
  • 確実に影響範囲・損害を特定し、ネットワーク正常化に着手できる準備や経営層へのエスカレーション手順、ルートを用意すること。
  • 影響範囲の特定については、機器・ソフトウェアの機能だけに頼り切らず、セキュリティ専門家を含めた判断を行うこと。
  • 外部機関からの攻撃情報提供・被害状況確認の問合せに対応する窓口、手順を日頃から用意すること。

 対策をしないことのリスクや対策を実施する効果

  • 対応体制、連絡/報告手順、対応手順が決められていない場合、攻撃に気付かない、感染被害範囲の判断、PC端末の隔離・インターネット接続遮断等の判断の遅れを引き起こし、結果として初動対応に失敗し、通常業務やサービス提供への復帰が遅れ、また、組織の社会的責任の追及や訴訟、信用の失墜につながる。
  • 感染端末やマルウェアが残存していた場合、再度情報漏えい等が発生し、事象が長期化する。
  • 外部との通信が確認されていても適切な機器において、適切な期間におけるログが保存されていなければ、いつ、どのぐらいの端末が感染していたのか被害範囲を確認することができない。

CSIRTマテリアル

CSIRT (シーサート: Computer Security Incident Response Team) とは、組織内の情報セキュリティ問題を専門に扱う、インシデント対応チームです。
近年の組織 (企業) の IT 利用の拡大に伴い、情報セキュリティ対策は組織にとって重要な問題となってきています。高度に複雑化し、かつインターネットを介して大容量のデータを瞬時に、しかも容易に世界中とやりとりできる IT システムの利用が一般的になったことで、単に「現場 = システム管理者」の頑張りだけで済む問題ではなくなってきています。例えば、情報システムがコンピュータウイルスに感染してしまったために、顧客の個人情報が世界中にばら撒かれてしまったといった事態を考えてみれば、情報セキュリティの問題が、もはやシステム管理者だけの問題ではなく、経営層が積極的に関与しなければならない問題であることは容易に想像できると思います。このような中で、組織の情報セキュリティ対策として注目されているのが、情報セキュリティの問題を専門に、ただし組織全体の視点から取り扱う CSIRT の構築です。
フェーズ1: CSIRT構想フェーズ
フェーズ2: CSIRT構築フェーズ
フェーズ3: CSIRT運用フェーズ

LinkIconCSIRTスターターキット
LinkIcon企業における情報セキュリティ緊急対応体制~組織内 CSIRT の必要性~
LinkIcon【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ!
LinkIconActive Directory のドメイン管理者アカウントの不正使用に関する注意喚起
LinkIcon高度サイバー攻撃への対処におけるログの活用と分析方法

定期的な職員への訓練実施
インシデント対応訓練や標的型攻撃の訓練を実施すること。メールを開封したことを責めるのではなく、不審メールの受付窓口へ届出することが重要であることを徹底すること。

 対策をしないことのリスクや対策を実施する効果

  • 訓練をしない場合、攻撃者の組織内への侵入を簡単に許してしまう。
  • 標的型メールを誰かがひらいてしまうことはやむなしと認識する。訓練において不審メールを開封したことを責めると、本物の不審メールが届いた場合に届出がされず結果として被害拡大に繋がる。

国際規格ISO/IEC27001及び27002との関係A.16.1.1 責任及び手順A.16.1.2 情報セキュリティ事象の報告A.16.1.3 情報セキュリティ弱点の報告A.16.1.4 情報セキュリティ事象の評価及び決定A.16.1.5 情報セキュリティインシデントの対応

10.被害発覚後の情報把握と説明準備

攻撃を受けた場合に備えた準備

被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

外部に対して迅速な対応を行うため、被害の発覚後の通知先や開示が必要な情報について把握させていますか?
また、情報開示の際、経営者が組織の内外への説明が出来る体制の整備をさせていますか?

対策を怠った場合のシナリオ

  • 速やかに通知や注意喚起が行われない場合、顧客や取引先等へ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。
  • 法的な取り決めがあり、所管官庁への報告等が義務付けられている場合、速やかな通知がないことにより、罰則等を受ける場合がある。
  • 組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を明らかにすることができない。

対策例

  • サイバー攻撃の被害が発覚後、速やかに通知や注意喚起が行えるよう、通知先の一覧や通知用のフォーマットを作成し、対応に従事するメンバーに共有しておく。また、情報開示の手段について確認をしておく。
  • 関係法令を確認し、法的義務が履行されるよう手続きを確認しておく。
  • 経営者が組織の内外への発表を求められた場合に備えて、インシデントに関する被害状況、他社への影響などについて経営者に報告を行う。
  • インシデントに対するステークホルダーへの影響を考慮し、速やかにこれを公表する。
  • 社外への公表は、インシデントや被害の状況に応じて、初期発生時、被害状況把握時、インシデント収束時など、それぞれ適切なタイミングで行う。

国際規格ISO/IEC27001及び27002との関係
A.6.1.3 関係当局との連絡
A.6.1.4 専門組織との連絡



「発見」重視の対策の限界激化するサイバー攻撃から会社を守るために

Cloud for ISMS 『サイバーセキュリティ』解説はこちらです

OODAとは
「状況変化を動的に継続的に監視して情勢判断し、迅速な意思決定と対処のサイクルをリアルタイムで連携させる」というモデルです

攻撃者の特定と被害の全貌が明かになっていない段階でも、動的な状況変化を監視(Observe)しつつ、入手可能な情報に基づいて情勢判断(Orient)し、意思決定(Decide)したうえで、行動(Act)するという流れ

「監視」と「情勢判断」の役割を担うのはCSIRT
「意思決定」は経営者(セキュリティ責任者)の任務

OODAループは、朝鮮戦争の航空戦についての洞察を基盤にして、指揮官のあるべき意思決定プロセスを分かりやすく理論化したものである。すなわち、監視(Observe)- 情勢判断(Orient)- 意思決定(Decide)- 行動(Act)のサイクルを繰り返すことによって、健全な意思決定を実現するというものであり、理論の名称は、これらの頭文字から命名されている。
OODAループ理論は、機略戦コンセプトの中核的な理論としてアメリカ全軍に広く受け入れられているほか、ビジネスにおいても導入されています

引用文献
IT PRO 2017.1.18 米軍式 人を動かすマネジメント(日本経済新聞出版社、2016年)第1章「機動戦経営とは何か?」Wikipedia

オリジナル教材群.png0-26.jpg
LinkIconオリジナル教材(書籍)販売
LinkIconISMS Society会員(Cloud for ISMSのアカウントを有する方)はPDF版のダウンロード(無料)が可能です

名称未設定.png

LinkIconお問い合わせ

LinkIconHOME

公開:2017.04.24
更新:2017.06.12 サイバーセキュリティ経営ガイドラインより