SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは

ISMS改訂は「見えないリスクの可視化」がカギ 絶対に外せない“セキュリティ脅威の検知”とは

リスク可視化のために押さえておくべき4つのポイント

 オンプレミス環境下でのソフトウェアはもちろん、クラウドサービスなどが増加することで、外部からのサイバー攻撃や権限設定の不備による内部からの情報持ち出しなど、セキュリティリスクが多様化しています。その結果として想定外の事態が発生する可能性が高まっており、予防だけでなく発生することを前提として、いかに迅速に検知して適切な対応ができるかが重要です。2022年度のISMS改訂においても、「8.16 監視活動」が新規管理策として追加されており、検知の重要性の高まりが伺えます。今回は「可視化」をテーマに、何をどこまで、どのように監視し、検知できる体制を構築しておくべきか解説します。

情報セキュリティにおける「可視化」の重要性

 本連載の第1回でも紹介しましたが、今回のISMS規格改訂では「検知」に分類される管理策の割合が増加しており、自分たちが現状どのようなリスクにさらされているのか「可視化」し、認識することの比重が高まっています

 では、なぜ今、可視化が情報セキュリティの分野で重要とされているのでしょうか。情報セキュリティに関心がある方であれば毎年注目するであろう、IPA(情報処理推進機構)が発表する『情報セキュリティ10大脅威』を追っていくと一目瞭然です。

 たとえば、ランサムウェアに関する脅威。2015年はランク外でしたが、2016年には個人部門で2位、組織部門で7位として登場しており、2017年には個人・組織部門ともに2位となりました。そして2021年以降は、組織部門で1位の脅威であり続けています。

 このように近年では、突然重大な脅威が発生・注目され、あっという間に被害が拡大していくケースが一般的になっています。そして、これがランサムウェアに限らないものであることはご存じの通りかと思います。

[画像クリックで拡大]

 ただし、新たな脅威が登場する一方で、依然として同じような事件・事故が繰り返されていることも事実です。これは、リスクが過小評価されてしまっており、適切なリスクのインパクトを可視化できていないケースが多いためであると考えられます。不正を企てる者にとっては、見過ごされている“既知のリスク”要因を突くことが効率的であるため、決して新しいリスク要因にのみ注目すれば問題ないわけではないことも理解しておきましょう。

 また、現代では不正アクセスに必要な情報がインターネット上で販売されており、不正アクセスに必要なツールも容易に入手することができてしまいます。つまり、世界中の誰もがその気になれば攻撃者になれてしまう時代でもあるということです。

 このように、誰もが攻撃者になり得る状態であり、既知なものから未知なものまで追いきれないほどのリスクが存在する現代では、予防に100%の比重を置くのではなく、想定外の事象が発生してもすぐに検知し、迅速な対応を行えるようにしておくこと。これこそが現実的かつ重要な考え方だとされています。

次のページ
リスク要因を可視化する

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
約10年振りの改訂「ISMS 2022年版」の要諦──“インシデント前提思考”の情報セキュリティマネジメントとは連載記事一覧

もっと読む

この記事の著者

村田 一彦(ムラタ カズヒコ)

情報セキュリティコンサルティング事業やB2B向けSaaS事業を展開するLRM株式会社のコンサルティング事業部副部長。情報セキュリティコンサルティングに20年以上携わっており、ISMS/ISO27001、ISMSクラウドセキュリティ/ISO27017、プライバシーマークなどの認証取得やQMS/ISO9...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18112 2023/07/31 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング