「セキュリティ対策ってどこから手をつけていいかわからない」そんな声を聞くことがよくあります。そういう方にはまず、自社が守りたいものは何か、それを守るために必要な対策は何か、ということを洗い出して、セキュリティ対策の“全体像”を描くことをオススメしています。
しかし、セキュリティ対策は多岐に渡るので、企業が実施すべきセキュリティ対策の“全体像”を把握するのは難しいです。マルウェア対策ソフトやWAFの導入といった技術的対策の他にも、企業に求められるセキュリティ対策は幅広く存在します。
本記事では、セキュリティ対策の全体像を“網羅的かつ簡易的”に把握するためのヒントを解説していきます。
・セキュリティ対策の全体像を把握したい
・Secure SketCHのセキュリティ対策状況評価フレームワークが知りたい
・セキュリティソリューションはあらかた導入しているが、次に何をしたら良いかわからない
企業が、いち早くセキュリティ対策の全体像を知るためには、各国・各団体が出しているフレームワークやガイドラインを参照する、というのが第一歩と言えるでしょう。国内では、「ISO27001,2」を筆頭に「サイバーセキュリティ経営ガイドライン」が浸透してきています。金融業界では「FISC安全対策基準」、重要インフラであればNISCの「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」等、業界に応じて必要なガイドラインを参照しているケースもあるでしょう。
一方、NIST Cybersecurity FrameworkやCIS Critical Security Controlsといった他国ではよく参照されているフレームワークの日本での活用度が低いという現状があります。
図1. 参照しているガイドライン/フレームワーク
(出典:NRIセキュア「NRI Secure Insight 2017 企業における情報セキュリティ実態調査~グローバル編~」)
セキュリティに係る戦略策定やセキュリティ対策の実施には、自社に見合ったフレームワークやガイドラインを参照していただきたいのですが、「ガイドラインによって粒度やカバーしている範囲が異なるので結局どれを見れば良いのかわからない」なんてお悩みを聞くこともあります。
そのようなお悩みを受けて、Secure SketCHではそれらのグローバル標準を基にした独自のセキュリティ対策フレームワークを作成しました。これにより、Secure SketCHは”網羅的かつ簡易的“にセキュリティ対策状況を評価することを可能にしています。
このフレームワークは78個のセキュリティ対策から構成され、24個の中カテゴリ、“戦略/組織/技術/有事対応”の4個の大カテゴリに分かれています。
図2. Secure SketCH独自セキュリティ対策フレームワークの中カテゴリ
なお、本フレームワークは新技術の台頭や新たな脅威の出現に応じてアップデートを図ります。上記に示した中カテゴリや対策個数は2018年4月時点のものであり、今後変わる可能性がありますのでご了承ください。
本フレームワークの詳細なセキュリティ対策および各対策のベストプラクティスはSecure SketCHに会員登録(無料)いただくと、確認することができます。
本稿では簡易的にセキュリティ対策の全体を把握するために、“戦略/組織/技術/有事対応”の4つの大カテゴリ毎の対策概要とポイントをご紹介します。
昨今、セキュリティ経営という言葉が台頭してきたように、企業はセキュリティを経営課題として捉えることが求められています。つまり企業がセキュリティとどう向き合うのかという指針を示し管理の態勢を整備することに、現場のセキュリティ担当者だけでなく経営層が積極的に関与する必要があります。
まずはCISO(Chief Information Security Officer)といったセキュリティの統括責任者を配置します。そして、CISOが主導して、事業特性を踏まえたリスクを特定する。それらのリスクに対して、周辺環境を踏まえてどう向き合うのか、ということを明示的に打ち出す。このように、セキュリティ全体を企業として統制していく仕組み作りがセキュリティ対策の第一歩です。
CISOがリーダーシップを発揮してセキュリティを管理する必要性についてはこちら
セキュリティ人材不足の解消には「CISO」のリーダーシップが有効|NRIセキュア調査結果
「経営層が企業のセキュリティの現状を把握して、目指すべき姿を定め指針を示す」
セキュリティ対策と聞くと、真っ先にサーバやネットワーク機器が思い浮かぶ方も多いでしょう。しかし、管理すべき対象はそれだけではありません。建物や従業員、外部委託先といった非システム面のセキュリティ管理も企業の責任範囲です。従業員のセキュリティ意識向上の教育や、重要度に応じた建物内のゾーニング、外部委託先の監査などの対策があげられます。
特にセキュリティに関する従業員への教育は悩んでいる企業が多いのではないでしょうか。セキュリティ人材と一般従業員では教育内容の広さと深さが異なりますし、日々新しい脅威が発生する中で形骸化しないコンテンツを提供し続ける必要があります。
「非システム面のセキュリティ強化を図り、適宜内容を見直す」
Secure SketCHのセキュリティ対策フレームワークでは、技術カテゴリが一番ボリュームが多いです。マルウェア対策やID・認証管理、WAFの導入といったセキュリティソリューションを導入する対策をまとめています。
このカテゴリで一番気をつけたいのは、ソリューションの導入だけで満足してしまうことです。例えばID管理でしたらActive Directory等の一元管理ソリューションを入れるだけでなく、アカウントと権限の割当が役割に応じて妥当かどうか定期的に確認する必要があります。
特権アカウントの作業記録を取得できるソリューションを入れたのであれば、作業後に事前の作業申請内容と操作ログを突合する必要があります。このように、ソリューションを導入するだけではなく、棚卸しや確認するステップも行うことで効果を高めることができます。
また、いろいろなセキュリティソリューションがあり、どれから導入したらいいかわからない、といったお悩みもあるかもしれません。基本的には、“戦略”の章で特定した事業特性に応じたリスクに効く対策から実行することをオススメします。
一方で、企業内で頻発しているセキュリティインシデントがあれば、それだけ社内のセキュリティ担当者の対応工数が割かれていることになるので、その対策から実行するという考え方もあります。
弊社の調査によると、電子メール等の誤送信、標的型メール攻撃といった事件事故が相変わらず多く発生していることがわかります。
図3. 過去1年間で発生した事件・事故
(出典:NRIセキュア「企業における情報セキュリティ実態調査2017」)
例えばメール宛先誤送信防止機能を追加したり、標的型メール訓練を実施したりしてこれら事件・事故の頻度を減らすことができると、それだけ担当者の負荷軽減につながり、結果的に他施策に割り当てる工数が増やせる、ということになるかもしれません。
メールセキュリティ対策についてはこちら
メールセキュリティ対策の全体像|企業が実施すべき7つのポイント
闇雲にセキュリティソリューションを導入するのではなく、自社にとって効果的な導入/管理を目指しましょう。
「自社に必要なソリューションを見極め、導入するだけでなく管理のプロセスを回す」
セキュリティ対策を完璧に実施すれば、セキュリティインシデントが起こる可能性が0になるかというと、そうはいきません。対策を迂回するような脅威が次々と生まれるので、企業は常に対策のアップデートが必要ですし、脅威に晒されている期間はどうしてもインシデント発生リスクは高まります。そのため、有事の際にステークホルダーが一丸となって通常稼働に戻るための行動原則を整理しておく必要があります。
CSIRT(Computer Security Insident Response Team)に代表されるようなインシデント対応チームを組成したり、そのメンバを中心としたインシデント対応プロセスの整備・訓練を平時から実施したりしておくと良いでしょう。
「有事の際に迅速に復旧できるように、平時から備える」
いかがでしたでしょうか。Secure SketCHのセキュリティ対策フレームワークを使ってセキュリティ対策の全体像を簡単に説明してまいりました。
フレームワークの詳細な内容は、Secure SketCH会員企業様に公開しています。無料で会員登録できますので、是非この機会に登録いただき、セキュリティ対策全体像の“網羅的かつ簡易的”な把握にお役立てください。