SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

経営の脅威となるランサムウェア:その理解と対策

サイバー攻撃から企業を守るために活用できるアウトソーシングサービス

第6回

 この連載も今回で最後となります。前回までの連載では、新型ランサムウェアの登場と拡大する被害の実態、企業が被る影響や経営的なリスク、それらに対応するために従来の“完全に防御する”考え方から“サイバーレジリエンス”という考え方に移行していく必要があることについてご紹介してきました。そういった新しいパラダイムにおいて具体的にどのような対策が取り得るのか、最終回ではご紹介をしていきます。

自社の現状を認識する:セキュリティアセスメント

 孫子の兵法に“敵を知り己を知れば百戦危うからず”という言葉があります。サイバーセキュリティの世界でも同じことが言えますが、敵、すなわち攻撃者(攻撃グループ)は目に見えず、また日々攻撃方法も変化していますので、お客様の企業1社でそのすべてを“知る”ことは非常に難しいと思われます。一方で、自社のセキュリティ対策の充足度が現在のセキュリティリスクに対して十分かどうかについては、セキュリティ脅威の知見を持った専門家の力を借りてしっかりと調査をすれば、スナップショットではあるものの見えてくるはずです。(スナップショットの対応は陳腐化しますので、セキュリティをどう維持していくかは後述の監視サービスでご紹介します。)

 セキュリティベンダーはこれまで“製品による防御”を重視し、“この製品を入れれば100%と言えないまでもサイバー攻撃の脅威を防げます”といった展開をしてきました。しかしながら、100社の企業があれば100通りの環境があり、それぞれの事情があるはずです。そのため、画一的に同じ製品を導入したとしても、ある企業にとってはオーバースペックだったり、すでに導入済みの製品と機能がかぶったりということが起こりえます。また、ある企業では別の箇所に対策優先度の高い脆弱性があるにも関わらず見当違いなセキュリティ対策製品を導入したために、結果的にその製品は的を外した対策にしかならないといったことが起こりえます。そのため、まず自社のセキュリティ充足度を把握し、適切な対応をするため、“セキュリティアセスメント”が必要になります。図にすると以下のようになります。

(図1)セキュリティ組織の実行サイクル[クリックして拡大]

 セキュリティアセスメントは大きく技術的要素と規程や管理体制を含めたマネジメント要素の2つに分けられます。

1.技術的要素:サイバー攻撃を対象として、想定される脅威への技術的な対策(対策をすり抜ける攻撃への運用状況を含む)の充足状況、追加・改善を要する事項とその優先度等を把握する。

2.マネジメント要素:内部要因の過失や悪意によるインシデントを想定し、既存の規定類、管理資料等をもとにマネジメントの観点からの対策充足度を評価し、改善に向けたプランニングを実施する。

 これらを実施するには以下のようなスキルが必要となります。

  • サイバーセキュリティにおける現状を理解していること
  • 調査をするためのフレームワークを持っていること
  • アセスメントを行うための調査スキル・知見・経験を持っていること

 これをお客様企業ですべてまかなうことは難しいため、セキュリティ専門家に依頼するのが良いと思われます。ただし、いくらセキュリティ専門家といっても“オレオレ基準”による評価では意味がありませんので、例えばマネジメント要素については第4回で述べた経済産業省のサイバーセキュリティ経営ガイドラインのフレームワークに準拠した調査を実施できる専門家を選ぶ必要があるといえます。

 また、その時点における企業を取り巻くサイバーセキュリティ環境に準じて、アセスメントの内容がアップデートされているかを確認する必要があります。このコラムでも再三にわたりご紹介しましたが、この1年はコロナウィルスによるテレワークが始まり、今までの“入口・出口対策”ではない、VPNや社内システムを通らずにインターネットにアクセスできる在宅従業員のPCなどの“裏口”がセキュリティインシデントを引き起こす原因となっているため、セキュリティアセスメントには“裏口”の観点での評価項目が必要なはずです。現在提供されているセキュリティアセスメントは“入口・出口対策”にフォーカスしたものがほとんどで、“裏口”が見過ごされがちです。そのため、テレワーク環境のセキュリティ充足度に特化した調査がセキュリティアセスメントに含まれているか、といった観点も重要になってきます。(*1

 セキュリティアセスメントサービスをご利用いただく際には、その時点における市場を取り巻くサイバーセキュリティの状態を考察し、経済産業省のサイバーセキュリティ経営ガイドラインや総務省のテレワークセキュリティガイドラインをフレームワークとして、お客様個別の事情を加味した“やりすぎない・不足しない”ものかどうかを見極めていただくことが重要です。

次のページ
変化するセキュリティリスクに対応:SOCサービス

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
経営の脅威となるランサムウェア:その理解と対策連載記事一覧

もっと読む

この記事の著者

村上 雅則(マクニカネットワークス)(ムラカミマサノリ)

マクニカネットワークス株式会社
第2営業統括部第1部 主幹1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。
ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の支援を...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13799 2021/01/13 11:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング