無料会員登録
サイバーセキュリティ経営ガイドライン対応の進め方第7回は、指示8「情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備」について解説いたします。
指示8には「速やかな情報の入手」が書かれています。しかし、ここで重要なことは「入手」だけではありません。情報の「共有」です。
“情報を貰うだけではなく、提供すること”、これを意識しなければなりません。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
情報共有活動について
“情報を貰うだけではなく、提供すること”
この様に言うと、「うちには優秀なSEもいないし、提供するものなんてない」と思う方もいるかも知れません。
しかし“サイバー攻撃を受けたこと”も重要な情報です。対策・分析には事実の正確な把握が必要。自社で問題が起きたら、しかるべき組織に報告し、社会的被害の拡大を防止しなければなりません。
共有すべき相手先とは
ガイドラインで挙げられている共有先(最低限認識すべき先)は3箇所です。
- IPA(独立行政法人情報処理推進機構)
- 一般社団法人JPCERTコーディネーションセンター
- 日本シーサート協議会
1. IPA(独立行政法人情報処理推進機構)
まずはIPAです。
IPAは、経済産業省と協力して、サイバーセキュリティ経営ガイドラインを作成した組織です。
情報処理資格試験や様々なIT関係の啓蒙活動などを行っており、また政府のサイバーセキュリティ戦略により予算も増額され、今後一層の活躍が期待されている組織です。
WEBサイトでは、社員向けの無料の教育ツール等、社内人材育成にも利用できるものが多数公開されておりますので、積極的に活用しましょう。
このIPAのWEBサイトに「届出・相談・情報提供」というページが設けられていますので、ウィルス感染や不正アクセスなどが見つかった際は、こちらから報告を行いましょう。IPAで分析や各所への報告が行われ、同様の攻撃を受けた他所への被害を食い止めることができます。
サイバー攻撃を受けたという報告は、企業の「社会的責任」でもあるということを念頭においてください。
2. 一般社団法人JPCERTコーディネーションセンター
次に、JPCERT CC(コーディネーションセンター)です。
IPAが独立行政法人であるのに対し、JPCERT CCは、政府や企業から独立した中立組織です。サイバーの世界では、各国の思惑でハードウェアにバックドアが予め仕込こまれたりすることも度々ありますので、中立組織の存在は重要となります。
こちらもIPAと同様の活動を展開していますが、設立当初からエンジニアの有志が集まっていたこともあってか、どちらかというとエンジニア向けの印象があります。
3. 日本シーサート協会
日本シーサート協議会は、問題を未然に防ぐだけでなく、問題が発生した時にどう動くかを中心に検討する組織です。企業の存続のための“マネジメント視点”から、対策を捉えます。
サイバーセキュリティの問題が起きた時「よく分からないから、SEに任せた」ではなく、予め下記項目等を定めておくのがCSIRT(シーサート)の役割です。
- 対応をしなければならない事項
- 記者会見
- 財源確保
- 関係者への連絡
- 臨時の事務処理等
- システム分野以外で必要な項目
- 誰が何をするか
その横の繋がりを持つのが、日本シーサート協議会です。
ある程度の規模を持つ企業は、事業継続・リスクマネジメントの観点から、CSIRTを構築することが推奨されていますので、その様に認識しておきましょう。
双方向の情報共有が重要
この様に、組織と“双方向に”情報共有をすることで、日本全体のサイバーセキュリティ水準を上げること、それがサイバーセキュリティ経営ガイドライン指示8の目的です。
自分の会社で起きたこと、それは国内の沢山の企業で起こっていることかも知れません。隠していたら、他の企業でも起こります。早く連絡すれば、救える会社もあるでしょう。
最早、日本の社会全体でサイバーセキュリティ対策に取り組まなければならない時代なのです。
次回が、このシリーズの最後になります。
実際にサイバーセキュリティの問題が発生したときどう動くか。指示9「緊急時の対応体制の整備、定期的かつ実践的な演習の実施」、指示10「被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備」について説明します。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
IPAが主導する中小企業のセキュリティ対策を支援する仕組み「サイバーセキュリティお助け隊」について
急ピッチで進められる「マイナンバー法改正案」について
テレワークで見落としがちな「通信環境のセキュリティ対策」について
アップデート必須!SMBv3の脆弱性 (CVE-2020-0796)について
情報セキュリティ相談窓口一覧!どこに何の相談できるか解説
CSIRTとは?その概要や役割、必要性、設置方法について詳しく解説
情報セキュリティの社内研修に活用できる資料まとめ
パスワードスプレー攻撃とは?仕組みと被害の特徴、対策方法について徹底解説
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
