Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

防御偏重の体制からの脱却!サイバー攻撃へのレスポンス態勢、セキュリティ監査のツボ―PwC林和洋氏

  2015/10/02 06:00

標的型攻撃を想定した対処方法のポイント――2つの重要な柱

 加えて近年ではサイバーセキュリティ基本法、金融庁の監督指針等の改正があり、コンプライアンス的にも見直すべき項目も多い。林氏は標的型攻撃を想定した対処方法のポイントを説明した。重要な柱を2つ挙げると、セキュリティ監査による現状分析を行うことと、防御偏重の体制からの脱却である。

「セキュリティ監査」による現状分析

 まずはセキュリティ監査。網羅的に監査するためには、マトリックスを作成するのが有効だという。軸の1つは企業活動フレームワークを据えて「戦略/ポリシー/プロセス/人/技術」、もう片方の軸には情報セキュリティアーキテクチャを据えて「抑止/予防/検知/回復」、ここから全ての項目を埋めていく。日本では後者の軸で「検知」と「回復」部分が弱い傾向にあるという。

図:網羅的なセキュリティ監査
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

 もうひとつ、監査に有効なのがツールや標準の組み合わせだ。林氏はPwCが独自に提供しているセキュリティ・アセスメントフレームワーク「PwC Security ATLAS」と各種セキュリティガイドラインの組み合わせが「全体像を把握するのに有効」と話す。

図:深度を持ったセキュリティ監査
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

 さらに深く切り込んでいくにはいくつかのアプローチがある。脅威の特性によりシナリオを作成する、保有する資産や事後の影響を見直す、情報システムの脆弱性と脅威の関連づけを行うなどだ。  

 セキュリティ管理態勢と脅威シナリオで現状をチェックしたら、次はアクションプランの策定だ。あるべき姿を明確にして、投資計画とロードマップを策定していく。この段階で参考になるのが同業他社との比較だ。PwCでは情報セキュリティ態勢について調査をしており、業界ごとの平均像などを把握している。同業他社と比較することで、おおよその目指すレベルが分かり、どこにどれだけ注力すればいいかが見えてくる。林氏はセキュリティ態勢については本業のビジネスではないため、「業界トップを目指せばいいということではありません」と念を押す。

図:セキュリティ監査結果に基づくアクションプラン策定
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

防御偏重の防衛体制からの脱却を

 監査とならび、重要な柱として林氏が指摘するのが防御偏重の体制からの脱却だ。PwCのグローバル情報セキュリティ調査2015によると、多くの日本企業では「防御」のレベルは高いものの、「戦略」、「検知」、「レスポンス態勢」は海外に後れを取っている。標的型攻撃など昨今の脅威を考えると、防御以外の部分を強化していく必要がある。  

 特に注視すべきは「検知」だ。日本ではSOCの未設置、あるいは十分に機能していないことによりインシデントの監視や検知が十分に行われていない。林氏は最近のサイバー攻撃が複雑化かつ巧妙化していることを指摘した。標的型になると用意周到に準備し、情報を収集したり、指令サーバーなどを使うという仕組みを理解しておく必要があるという。

図:最近の複雑かつ巧妙化したサイバー攻撃
「Security Online Day2015」(2015/09/07)、プライスウォーターハウスクーパース「標的型攻撃の発生を前提としたインシデントレスポンス態勢・セキュリティ監査の必要性」講演資料[クリックすると図が拡大します]

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day 2015 講演レポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5