SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2015 講演レポート

防御偏重の体制からの脱却!サイバー攻撃へのレスポンス態勢、セキュリティ監査のツボ―PwC林和洋氏

標的型攻撃を想定した対処方法のポイント――2つの重要な柱

 加えて近年ではサイバーセキュリティ基本法、金融庁の監督指針等の改正があり、コンプライアンス的にも見直すべき項目も多い。林氏は標的型攻撃を想定した対処方法のポイントを説明した。重要な柱を2つ挙げると、セキュリティ監査による現状分析を行うことと、防御偏重の体制からの脱却である。

「セキュリティ監査」による現状分析

 まずはセキュリティ監査。網羅的に監査するためには、マトリックスを作成するのが有効だという。軸の1つは企業活動フレームワークを据えて「戦略/ポリシー/プロセス/人/技術」、もう片方の軸には情報セキュリティアーキテクチャを据えて「抑止/予防/検知/回復」、ここから全ての項目を埋めていく。日本では後者の軸で「検知」と「回復」部分が弱い傾向にあるという。

図:網羅的なセキュリティ監査
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

 もうひとつ、監査に有効なのがツールや標準の組み合わせだ。林氏はPwCが独自に提供しているセキュリティ・アセスメントフレームワーク「PwC Security ATLAS」と各種セキュリティガイドラインの組み合わせが「全体像を把握するのに有効」と話す。

図:深度を持ったセキュリティ監査
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

 さらに深く切り込んでいくにはいくつかのアプローチがある。脅威の特性によりシナリオを作成する、保有する資産や事後の影響を見直す、情報システムの脆弱性と脅威の関連づけを行うなどだ。  

 セキュリティ管理態勢と脅威シナリオで現状をチェックしたら、次はアクションプランの策定だ。あるべき姿を明確にして、投資計画とロードマップを策定していく。この段階で参考になるのが同業他社との比較だ。PwCでは情報セキュリティ態勢について調査をしており、業界ごとの平均像などを把握している。同業他社と比較することで、おおよその目指すレベルが分かり、どこにどれだけ注力すればいいかが見えてくる。林氏はセキュリティ態勢については本業のビジネスではないため、「業界トップを目指せばいいということではありません」と念を押す。

図:セキュリティ監査結果に基づくアクションプラン策定
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

防御偏重の防衛体制からの脱却を

 監査とならび、重要な柱として林氏が指摘するのが防御偏重の体制からの脱却だ。PwCのグローバル情報セキュリティ調査2015によると、多くの日本企業では「防御」のレベルは高いものの、「戦略」、「検知」、「レスポンス態勢」は海外に後れを取っている。標的型攻撃など昨今の脅威を考えると、防御以外の部分を強化していく必要がある。  

 特に注視すべきは「検知」だ。日本ではSOCの未設置、あるいは十分に機能していないことによりインシデントの監視や検知が十分に行われていない。林氏は最近のサイバー攻撃が複雑化かつ巧妙化していることを指摘した。標的型になると用意周到に準備し、情報を収集したり、指令サーバーなどを使うという仕組みを理解しておく必要があるという。

図:最近の複雑かつ巧妙化したサイバー攻撃
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

次のページ
今後求められるのは“プロアクティブな”インシデントレスポンス態勢

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7255 2015/10/02 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング