• 会員限定
  • 2017/11/30 掲載

「侵入前提」から「被害前提」へ サイバーセキュリティ経営ガイドライン改訂ポイント

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
日々新たな脅威が生まれるサイバーセキュリティの世界。11月16日、経済産業省が「サイバーセキュリティ経営ガイドライン 2.0」を発表した。前バージョンとなる1.1に対する主な改訂ポイントは、「経営者がCISO等に指示すべき10の重要項目」に侵入検知、復旧体制が追加され、サプライチェーンセキュリティに関する項目が再編された。その改訂意図から見えてくる現代のセキュリティマネジメントを見てみたい。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
ガイドラインの改定にあまり新しい視点や情報はないと思うかもしれないが、きちんと読めば参考になる情報が書かれている
(©everythingpossible - Fotolia)

忘れがちなセキュリティ対策の根本「経営者主体」

 サイバーセキュリティ経営ガイドライン(以下、ガイドライン)は、ISO/IEC 27001、ISMSといったサイバーセキュリティマネジメン標準がベースとなっている。いわば中小企業から大企業まで適用可能なISMSのサブセットである。ISMSの基本的な考え方は、まず経営者がセキュリティの基本理念を考え、基本方針を決め、リスクアセスメントを実施し、対策基準を定める。そして運用はPDCAで回す。ガイドラインもこれに準ずる形で企業経営者が考え、現場に展開させるべき項目、ポイントが記されている。

 セキュリティ認証としてのISMSは「管理手順と体制の整備を規定するだけで、実際にセキュアであるかの担保にはならない」と否定的に捉える意見もあるが、それを抜きにしても、ISMSではある重要なことを規定している。意外と認識していない企業や、実践できていない企業が多いかもしれないので、ここでリマインドしておきたい。

 そもそも、企業セキュリティは「経営者の発案により、その意思が反映されたポリシーを元に体制、対策方法が確定されるもの」ということだ。簡単にいえば、企業セキュリティはCISOやセキュリティ担当者が考えるのではなく、経営者が考えるものだ。もちろん、ポリシーや対策を考えるときにCISOや専門家と相談する必要、またCISO側からの支援・アドバイスの必要はあるが、主体はあくまで経営者だ。

 自分はセキュリティは分からないからと、CISOや企業内CSIRT、ましてや情シス担当者やベンダーに丸投げするのは、原理主義的に言えば経営者失格だ。現場からは「(何も知らない)社長には絶対セキュリティは任せられない」という声が聞こえそうだが、経営者の主体的関与がなければ、予算もつかないし、流行りのソリューションを導入して終わりになってしまう。いずれにせよ、最終的な責任は経営者になることを自覚させることも必要だ。

検知と復旧の方針から変える

 経営者の責任という部分では、今回のガイドラインでも変更はない。経営者が認識すべき3原則は維持されている。その上でガイドラインが述べているのは、検知と復旧の強化だ。

 近年の企業セキュリティは、侵入や攻撃の検知が弱いと言える。外部からの通報で被害や情報漏えいが発覚する事例が多いのは問題だとする。事前対応は従来からの入り口対策(FW、IDS/IPS)、エンドポイント対策(アンチウイルスなど)が担っている。事後対応もCSIRT構築などが進んでいるが、検知の対策が不十分(少なくとも旧ガイドラインでは明記がない)ではないか、とガイドラインは注意喚起する。

 復旧についても、一部ではレジリエンス(復元力)を重視したセキュリティ体制を作っているところもあるが、国内ではまだメジャーにはなっていない。BCPやDRのような災害に対する備えは進んでいるが、サイバーインシデントの際の対策、対応手順を整備しているところは少ない。危機管理センター(のようなしくみ)をすぐに組織できるだろうか。あるいは、アウトソースを含め、原因究明、フォレンジックス、マルウェア解析、さらにシステムの復旧作業をどのような体制で、どのような優先順位で実施するか、プランがありシミュレーションしている企業がどれだけあるだろうか。

 ガイドラインが述べているのは、もはや侵入前提での対応では不十分で、被害発生前提での対策が必要であるということだ。

 再編されたサプライチェーンセキュリティとは、ビジネスパートナー、子会社、委託先を含めたセキュリティ対策のこと。自社組織だけでなく、取引先や委託先のセキュリティ対策の状況、インシデント対応体制を把握する必要がある。委託先からデータが漏れたとき、その原因や状況が共有できなければ、正しい発表もできないし、二次被害の防止もおぼつかない。

 では、以上のような改訂ポイントに対して、具体的にどのような対策が考えられるだろうか。

【次ページ】 改訂ポイントへの具体的な対応・対策とは?

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます