EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

サイバー攻撃から企業を守るために活用できるアウトソーシングサービス 第6回

 この連載も今回で最後となります。前回までの連載では、新型ランサムウェアの登場と拡大する被害の実態、企業が被る影響や経営的なリスク、それらに対応するために従来の“完全に防御する”考え方から“サイバーレジリエンス”という考え方に移行していく必要があることについてご紹介してきました。そういった新しいパラダイムにおいて具体的にどのような対策が取り得るのか、最終回ではご紹介をしていきます。

自社の現状を認識する:セキュリティアセスメント

 孫子の兵法に“敵を知り己を知れば百戦危うからず”という言葉があります。サイバーセキュリティの世界でも同じことが言えますが、敵、すなわち攻撃者(攻撃グループ)は目に見えず、また日々攻撃方法も変化していますので、お客様の企業1社でそのすべてを“知る”ことは非常に難しいと思われます。一方で、自社のセキュリティ対策の充足度が現在のセキュリティリスクに対して十分かどうかについては、セキュリティ脅威の知見を持った専門家の力を借りてしっかりと調査をすれば、スナップショットではあるものの見えてくるはずです。(スナップショットの対応は陳腐化しますので、セキュリティをどう維持していくかは後述の監視サービスでご紹介します。)

 セキュリティベンダーはこれまで“製品による防御”を重視し、“この製品を入れれば100%と言えないまでもサイバー攻撃の脅威を防げます”といった展開をしてきました。しかしながら、100社の企業があれば100通りの環境があり、それぞれの事情があるはずです。そのため、画一的に同じ製品を導入したとしても、ある企業にとってはオーバースペックだったり、すでに導入済みの製品と機能がかぶったりということが起こりえます。また、ある企業では別の箇所に対策優先度の高い脆弱性があるにも関わらず見当違いなセキュリティ対策製品を導入したために、結果的にその製品は的を外した対策にしかならないといったことが起こりえます。そのため、まず自社のセキュリティ充足度を把握し、適切な対応をするため、“セキュリティアセスメント”が必要になります。図にすると以下のようになります。

(図1)セキュリティ組織の実行サイクル[クリックして拡大]

 セキュリティアセスメントは大きく技術的要素と規程や管理体制を含めたマネジメント要素の2つに分けられます。

1.技術的要素:サイバー攻撃を対象として、想定される脅威への技術的な対策(対策をすり抜ける攻撃への運用状況を含む)の充足状況、追加・改善を要する事項とその優先度等を把握する。

2.マネジメント要素:内部要因の過失や悪意によるインシデントを想定し、既存の規定類、管理資料等をもとにマネジメントの観点からの対策充足度を評価し、改善に向けたプランニングを実施する。

 これらを実施するには以下のようなスキルが必要となります。

  • サイバーセキュリティにおける現状を理解していること
  • 調査をするためのフレームワークを持っていること
  • アセスメントを行うための調査スキル・知見・経験を持っていること

 これをお客様企業ですべてまかなうことは難しいため、セキュリティ専門家に依頼するのが良いと思われます。ただし、いくらセキュリティ専門家といっても“オレオレ基準”による評価では意味がありませんので、例えばマネジメント要素については第4回で述べた経済産業省のサイバーセキュリティ経営ガイドラインのフレームワークに準拠した調査を実施できる専門家を選ぶ必要があるといえます。

 また、その時点における企業を取り巻くサイバーセキュリティ環境に準じて、アセスメントの内容がアップデートされているかを確認する必要があります。このコラムでも再三にわたりご紹介しましたが、この1年はコロナウィルスによるテレワークが始まり、今までの“入口・出口対策”ではない、VPNや社内システムを通らずにインターネットにアクセスできる在宅従業員のPCなどの“裏口”がセキュリティインシデントを引き起こす原因となっているため、セキュリティアセスメントには“裏口”の観点での評価項目が必要なはずです。現在提供されているセキュリティアセスメントは“入口・出口対策”にフォーカスしたものがほとんどで、“裏口”が見過ごされがちです。そのため、テレワーク環境のセキュリティ充足度に特化した調査がセキュリティアセスメントに含まれているか、といった観点も重要になってきます。(*1

 セキュリティアセスメントサービスをご利用いただく際には、その時点における市場を取り巻くサイバーセキュリティの状態を考察し、経済産業省のサイバーセキュリティ経営ガイドラインや総務省のテレワークセキュリティガイドラインをフレームワークとして、お客様個別の事情を加味した“やりすぎない・不足しない”ものかどうかを見極めていただくことが重要です。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


関連リンク

著者プロフィール

  • 村上 雅則(マクニカネットワークス)(ムラカミマサノリ)

    マクニカネットワークス株式会社 第2営業統括部第1部 主幹 1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。 ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の支援を行う。 現在は高度化・多様化するサイバー攻撃に対し、セキュリティ運用の重要性の認知向上や経営課題としての取り組みと解決を優先事項とし、日々の活動を通じ、お客様毎の事情に合わせた課題解決のための仕組みのご提案に従事する。

バックナンバー

連載:経営の脅威となるランサムウェア:その理解と対策
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5