どうも、サイバ課長サイよー。
経済産業省と独立行政法人情報処理推進機構(IPA)が協力して策定した「サイバーセキュリティ経営ガイドライン」。2015年12月からスタートして、2017年11月には最新の改訂版がリリースされたサイよ。
当ガイドラインでは、企業の経営者が認識すべき3原則や、サイバーセキュリティ経営の重要10項目の指示などがまとめられているサイ。さらに2017年11月の改定では、経営者がCISO等に対して指示すべき10の重要項目についての見直しがされたサイよ。
サイバーセキュリティは経営問題として重要な施策。だけどまだまだこのガイドラインを知らない企業も多いサイね。
今回話しを伺ったのは、セキュリティコンサルティング支援からネットワークの出入口対策、内部対策まで包括的なソリューションを展開しているベースラインAPT対策コンソーシアム(以下、BAPT)の構成メンバー。「サイバーセキュリティ経営ガイドライン」を参照にしながら、サイバー攻撃のトレンドや対策の最新情報などのポイントを聞いてみるサイよ。
ごめんくだサーイ。
この記事の目次
各対策のスペシャリストが終結。企業ごとの”ベースライン”対策を
BAPT発足の経緯を教えてくだサイ。
BAPT
発起人はIT運用管理ソフトのブランド「ManageEngine」を提供しているゾーホージャパン株式会社(本社:神奈川県横浜市)です。2016年に発足後、現在は、ニュートン・コンサルティング株式会社、ウォッチガード・テクノロジー・ジャパン株式会社、株式会社PFU、サイバーソリューションズ株式会社、ウェブルート株式会社、株式会社フェス、ベル・データ株式会社、ゾーホージャパン株式会社の8社で構成されています。
高度標的型サイバー攻撃(APT)の対策は「膨大な投資で完璧さを追求するか、予算規模が合わずに諦めるか」の二極化になってしまいがち。私たちは、まず、各企業にとっての基準値(ベースライン)を満たすことを念頭に、中堅企業や中小企業でも無理なく実行できるプランを提案しています。
具体的にはどんな活動をしているサイか?
BAPT
広報・啓蒙活動として、サイバーセキュリティに関する記事の寄稿を各メディアに対して実施しています。また、2017年3月には高度標的型攻撃に向けた対策をテーマに、9月には被害が拡大しているランサムウェアについてセミナーを行いました。
こういった露出やメンバー間の相互紹介で依頼が増えています。提案内容は、サイバー演習やリスク評価に関する「コンサルティング」をはじめ、「ネットワークの出入口対策」や「ログ管理」/「ネットワークふるまい検知」/「エンドポイントセキュリティ」などの「内部対策」まで、広範囲にわたります。
BAPTの特長は?
BAPT
導入対象企業のニーズに合わせて、高いコストパフォーマンスでサービスを提供するスペシャリストがサポートすることです。
例えばセキュリティコンサルティング支援。これは経営者や情報システム部署を対象に、ニュートン・コンサルティング株式会社が担当します。同社は官公庁の委託案件なども多くこなしている企業で、リスク評価、CSIRT構築、サイバー演習、攻撃メール訓練などを実施します。
また、ネットワークの出入口対策から内部対策までに対応する各製品は、下図の通りウォッチガード・テクノロジー・ジャパン株式会社、ゾーホージャパン株式会社、サイバーソリューションズ株式会社、株式会社PFU、ウェブルート株式会社がそれぞれ提供しています。
最後に、ソリューション全体を統括するシステムインテグレーション業務は、ベル・データ株式会社と株式会社フェスが行うなど、適材適所できめ細かく対応できることが特長と言えます。
サイバーセキュリティ経営ガイドラインをバイブルに対策を進めること
日本企業のサイバーセキュリティの現状をどう捉えているサイか?
BAPT
まず、「サイバーセキュリティ経営ガイドライン」の存在をまだ知らない企業が多いと感じます。ガイドラインには、「セキュリティ対策の実施を“コスト”ではなく、将来の事業活動や成長に必要な“投資”と捉える」こと、「セキュリティ投資は必要不可欠かつ経営者としての責務である」ことが記されています。このガイドラインにしっかり則ることがスタートでしょう。
ガイドラインのポイントはどこサイか?
BAPT
「経営者が認識すべき3原則」です。当原則には「1.経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要」、「2.自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」、「3.平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要」と記されています。
経営層は実態を把握する必要があるのですが、サイバー攻撃やセキュリティ対策は目に見えないもの。情報システム担当者と経営者がそれぞれ抱く危機感の間に深い溝があるケースも多いです。
具体的な指示がガイドラインには示してあるサイね。
BAPT
そうです。「サイバーセキュリティ経営の重要10項目」には「サイバーセキュリティリスクの管理体制構築」や「インシデント発生に備えた体制構築」、「ステークホルダーを含めた関係者とのコミュニケーションの推進」などに細分化された10の指示があります。これをバイブルに、対策を進めることが最も効率的です。
企業によってはサイバーセキュリティリスク評価が行われていなかったり、ウィルスを侵入させない対策には力を入れているが、侵入後の対応については手をつけていなかったりと様々。だからこそ、各企業に合ったベースラインを満たす施策が必要になってきます。
100%防御は不可能。2018年サイバー攻撃対策のポイントは
2017年のサイバー攻撃について教えてくだサイ。
BAPT
ランサムウェアの被害拡大が顕著でした。ロシアやウクライナ、台湾などで大規模な被害がありましたし、日本でも感染が多数確認されました。これにより、侵入させない対策から、侵入後、いかに適切に対応するかに着目した対策の需要が高まっていると感じています。
では、2018年の動きはどう予測するサイか?
BAPT
拡散機能を持ったランサムウェア、いわゆるランサムワームに注意すべきです。これは脆弱なネットワークに侵入すると、そこから自己増殖していくものです。また、ランサムウェアの用い方も徐々に巧妙化しており、高度標的型攻撃の延長として捉えた方が良いでしょう。
当然、侵入を防ぐ対策は必要です。しかし、100%侵入を防ぐことが不可能である以上、大事なのは侵入した後の被害を最小限に抑えることです。今回のガイドライン改定でも項目が追加された通り、「攻撃の検知」を行う仕組みづくりや「サイバー攻撃を受けた場合の復旧の備え」などを強固にする必要があるでしょう。
BAPTでは、「サイバーセキュリティ経営ガイドライン」に沿った対応策をまとめて公表しています。非常に高い網羅率で技術的な対策の具体例を出しているので、是非活用してもらいたいと思います。
▷サイバーセキュリティ経営ガイドラインとの対応/BAPT(PDF)
ありがとうございました!
最後に
思わず聞き入ってしまったサイよ。もはや対岸の火事ではなく、明日自分の会社が被害を受けてもおかしくない状況サイね。
AIによる未知の驚異なども日々進化しているサイ。ブランドや社員を守るために、企業はより一層サイバーセキュリティに対する意識を強化した方が良いサイね。
早速「サイバーセキュリティ経営ガイドライン」をチェックするサイよ!
2018年3月2日(金)にフクラシア丸の内オアゾにてBAPT主催のセミナー開催がサイよ。
申込は1月中旬頃から開始されるとのことサイ!
http://bapt.zohosites.com/seminar20180223.html(準備中)
過去の開催実績はこちら
■2017年9月
http://bapt.zohosites.com/seminar20170914.html
■2017年3月
http://bapt.zohosites.com/seminar20170303.html
団体概要
団体名 | ベースラインAPT対策コンソーシアム Baseline APT-Solution Consortium(BAPT) |
---|---|
構成メンバー |
|