今後、情報セキュリティ関連担当者に求められていくこと
「情報セキュリティに関わる担当者に求められること」は多岐に渡りますが、その1つとして「情報セキュリティ対策・サイバー攻撃への対策」が挙げられます。
それらが新しい技術や社会問題等による変化で複雑化していることを踏まえ、本記事では、基礎的な対策から、情報収集のリソース紹介、最新の情勢までを分かりやすく解説します。
情報セキュリティを取り巻く環境変化と背景について
情報セキュリティの基準や常識は時代の変化や技術の発展とともに定期的に、ときには急激に変化していきます。
社会情勢の変化や技術の進歩に伴い、新しいセキュリティリスクが発生したり、新たな対応方法が生まれることで、組織に求められる知識や対策もアップデートが必要であることは疑いようがありません。
代表的な背景の一つに、“急激なクラウドサービスの普及とプライバシー保護の必要性の高まり”が挙げられます。クラウドサービスの普及背景として、自社ですべての責任を持つオンプレ環境中心から、導入や運用が容易なクラウドサービス(AWS等)の併用により、脅威に対してのリスク対策範囲が増加する等の課題が生じているのではないでしょうか。
これらの流れを受け、「ISO/IEC27001:2022(ISMS)」も約10年ぶりとなる改訂が行われ、2022年10月に発行されました。タイトルに着眼するだけでも「情報技術 -セキュリティ技術- 情報セキュリティ管理策の実践ガイド(2013)」から2022年版は「情報セキュリティ、サイバーセキュリティ及びプライバシー保護 – 情報セキュリティ管理策」と、リスク対策として想定する範囲が実質的に広がっていることが分かります。
昨今のサイバー攻撃被害
国内でのマルウェア感染被害等による事件が増加傾向にあり、ダークウェブ等による不正に取得した内部情報の取引によって、情報漏えいやランサムウェアの被害へ繋がっています。国内でも、大企業だけでなく中小企業での情報漏えい事故が増えてきている傾向にあります。
警察庁の発表による統計によると、届出のあったランサムウェア被害は令和2年下半期では21件でしたが、令和3年以降、高止まりの様相を見せており、令和5年上半期では103件でした。また、マルウェア感染の元となるフィッシング件数も前年同期で17.9%増加しており、クレジットカード会社を装ったものが多く見られました。
引用:
このような事は何故年々増え続けているのでしょうか?その背景として、企業が様々な事情からセキュリティ対策を後手に回さざるを得ない状況になっている為とされています。そこで、前回の経営層向け情報セキュリティ対策に続き、情報セキュリティ担当者に求められる対策を、本記事でおさらいしていきましょう。
情報セキュリティ担当者に求められること
情報セキュリティ担当者の使命は、組織の情報資産を保護し、セキュリティリスクを最小限に抑えることです。リスクアセスメントやセキュリティインシデント発生時には経営層や外部専門家との連携を行い対応していく必要があります。情報セキュリティポリシーや規程類の策定で終わることなく、実践すべき情報セキュリティ対策を確認していきましょう。
以下は情報セキュリティ担当者/管理者が抑えるべき一般的な項目となります。これらに加え、適切な情報収集を踏まえたアップデートが重要です。
1.技術的対策
- 1.1 ソフトウェアの更新
- ・ソフトウェア(アプリケーション、ファームウェア等)を最新にし管理する
- ・特に緊急性の高い脆弱性の更新プログラム適用は優先して実施する
- 1.2 ウイルス対策
- ・ウイルス対策ソフトの導入および検知用データの最新化と一元管理を行う
- ・マルウェアの検知や感染時の初期対応は組織内に周知する
- 1.3 ネットワークの防御
- ・ファイアウォール導入後は不正アクセスへの防御を維持する
- ・ファイアウォールに不正アクセスの自動遮断機能があれば活用する
- ・侵入検知システム(IDS)や侵入防止システム(IPS)を導入し適切に運用する
- 1.4 不正アクセスによる被害と対策
- ・想定される侵入経路や被害(ホームページの改ざん、データ窃取等)を洗い出す
- ・IT機器の利用制限やファイルへのアクセス管理
- ・サーバで利用するアプリケーションやサービスは最低限にする
- 1.5 テレワークで業務用端末を利用する場合の対策
- ・情報セキュリティポリシーを定めデータの保護や持ち出しを管理する
- ・テレワークセキュリティを自社のポリシーに合わせて検討する
- 1.6 SQLインジェクションへの対策
- ・Webサイトは感染リスクがあるためWAF導入を検討する
- ・データベースアカウントの権限やアクセスログ等によるセキュリティ管理を行う
- ・対策:ウェブアプリケーションファイアウォール(WAF)
- 1.7 標的型攻撃への対策
- ・入口対策:ウイルス対策ソフト導入および適切な運用、ふるまい検知等の対策
- ・出口対策:ログによる早期検知、暗号化等を行い流出データ
- 1.8 安全な無線LAN利用の管理
- ・無線LANの管理パスワードの強化を行う
- ・設定項目の確認(暗号化、認証等)を行い適切か確認する
- 1.9 ユーザ権限とユーザ認証の管理
- ・管理者や利用者ごとの適切なユーザ管理およびアクセス制限を行う
- ・適切なルールによるパスワード管理を行う
- 1.10 バックアップの推奨
- ・サーバおよびPC等、バックアップ対象を明確化する
- ・バックアップの方法、保管方法・場所、復旧等の適切な運用を実施する
- 1.11 セキュリティ診断
- ・定期的な脆弱性診断、プラットフォーム診断を行う
- ・疑似的なサイバー攻撃を行いアプリケーション等の攻撃耐性を診断する
- 1.12 ログの適切な取得と保管
- ・ログ管理は適切な時刻同期、ログ保管方法とバックアップを検討する
- ・重要なログを整理する(FWログ、IDSログ、アクセスログ、認証ログ、エラーログ、監査ログ等)
- 1.13 サポート期間が終了するソフトウェアに注意
- ・ソフトウェアのサポート期間を把握しリプレイスに備える
- ・開発ライブラリ等もサポート期間やアップデートを確認し対応計画を立てる
- 1.14 防御モデルの解説
- ・組織での想定されるサイバー攻撃を把握する
- ・人、組織対策としてインシデント対応計画、計画の実行
- ・技術的対策として事前の低減策、検知後の拡大防止、被害の最小化・再発防止を考慮する
2. 情報セキュリティポリシーおよび個別トピックの方針群
- 2.1 情報セキュリティポリシーの導入と運用
- ・情報資産(データ、ファイル等)の重要度分類を行い適切に管理する
- ・ポリシーの運用には「計画」「導入・運用」「評価」「見直し」を考慮する
- ・評価、見直しは情報セキュリティ監査を検討する
- 2.2 ソーシャルエンジニアリングの対策
- ・ポリシーやルールにソーシャルエンジニアリングを考慮する
- ・ショルダハッキングやトラッシング(ゴミ箱の捨てられた資料)への対策を検討する
- 2.3 クラウドサービスを利用する際の情報セキュリティ対策
- ・情報資産をクラウドサービスに預けるという利用が増えている
- ・アカウント情報の管理不備から不正アクセスに結びつく場合がある
- 2.4 SNSを利用する際の情報セキュリティ対策
- ・情報発信においてブランドイメージを損なわないよう方針を決める
- ・アカウントや投稿内容を適切に管理する
- ・なりすましアカウントの監視、対策を検討する
- 2.5 社員の不正による被害と対策
- ・内部不正の被害を減らすために、すべての業務従事者に適切な権限を設定する
- ・電子データに対する情報管理の意識を高めること(犯罪行為等)
- 2.6. 廃棄するパソコンやメディアからの情報漏洩
- ・記憶媒体は必ず情報管理担当者が取りまとめて適切な処理をしで廃棄する
- ・社内で情報機器の廃棄に関する統一ルールを確立し管理する
- 2.7 持ち運び可能な記憶媒体や機器を利用する上での危険性と対策
- ・IT機器の外部への持ち出し利用は、企業や組織が管理するものだけに制限
- ・事前申請や機器の取扱いルールを明確にし利用者の認識を高める
3. 物理セキュリティ対策
- 3.1 サーバの設置と管理
- ・重要設備へは外部の人間や権限のない従業員等が近づけないようにする
- ・重要設備は専門部屋を設け、不正に入退室やログインしないよう配慮し管理する
- 3.2 機器障害への対策
- ・自然災害等による停電対策や機器障害への対策を検討する
- ・業務の代替手段や定期的なバックアップにより業務影響を最低限にする
情報収集の重要性
これらの対策は全てを網羅的に実施する必要はありませんが、自社の状況に合わせて取捨選択し、組織のリスクや脅威に備えていく必要があります。
ChatGPT等の生成AIの利用急増が新たな脅威の種となってきており、世界的にも統一見解が得られないまま、法整備や対策等が追い付かないのが現状です。
そのため、メーカー等からの情報を待つだけでなく、世の中のリスクや中長期の成長計画に合わせて情報セキュリティに関する情報収集が欠かせなくなってきました。
もし情報収集を怠ると、新しい技術や未知のマルウェア等から深刻なリスクに発展する可能性があり、苦労して導入したソリューションが無駄になってしまうかも知れません。
次に示すサイト一覧を参考にして、積極的な情報収集を行っていきましょう。
情報セキュリティ担当者向け参考サイト一覧
サイバーセキュリティに関する公的機関
JVN(Japan Vulnerability Notes)
各省庁のサイバーセキュリティ関係最新情報
警察庁:サイバー警察局
総務省:サイバーセキュリティ統括官の紹介
厚生労働省:医療分野のサイバーセキュリティ対策について
経済産業省:サイバーセキュリティ政策
国土交通省:情報化
国内サイバーセキュリティの現在とこれから
1. サイバーセキュリティの現在
2023年現在、サイバー攻撃や被害は年々増加傾向にあり、その理由として生成AI等により簡単にサイバー攻撃ツールを開発する事ができ、加えて一般人を巻き込んでの潜在的な犯罪集団として機能し始めている背景があります。
技術の進歩やサイバー攻撃の複雑化により、以前にも増して情報セキュリティ担当者による法的規制やガイドライン等への理解やセキュリティ教育の重要性が増しています。
2. サイバーセキュリティ対策のこれから
トレンドへの情報収集を行うことで、情報セキュリティ技術向上の速度やインシデント原因から自社で取り扱う情報の重要度に応じてセキュリティ対策を行うことができます。
しかし社内の情報セキュリティに関する規程類や帳票類が整備されていても、実態と合っていない場合、トレンドの対策も効果が半減する可能性もあります。まずはITの取扱いに関して定期的な見直しを行い、必要に応じて机上訓練等を行い規程類の実効性を確認することをおすすめします。
基本的なセキュリティ対策を押さえ、実態と規程類とのギャップがなくなった時初めてトレンドの情報セキュリティ対策が生きてきます。定期的に規程類を見直し、ルールとマニュアル、システム運用とセキュリティ対策についてより良い状態を維持していきましょう。
情報セキュリティ関連に携わる皆様へ
日本パープルでは企業の情報セキュリティ課題に合わせて様々なセキュリティサービスを提供しております。今回は、柔軟に貴社の情報セキュリティへの課題対応をカスタマイズできる「Coach Mamoru(コーチマモル)」をご紹介します。
これまでに300社以上のコンサルティング実績を持ち、社内検討では発見しにくい課題やリスクの発見など、会社規模や事業計画に合わせて丁寧に提案・対応致します。
本記事を御覧いただいて、改めて自社の情報セキュリティリスクについて見直したい、セキュリティ対策に不安を感じるとお考えなら、日本パープルへぜひお問い合わせください。