無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

サイバーセキュリティ経営ガイドライン対応の進め方第7回は、指示8「情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備」について解説いたします。

指示8には「速やかな情報の入手」が書かれています。しかし、ここで重要なことは「入手」だけではありません。情報の「共有」です。

“情報を貰うだけではなく、提供すること”、これを意識しなければなりません。

情報共有活動について

“情報を貰うだけではなく、提供すること”

この様に言うと、「うちには優秀なSEもいないし、提供するものなんてない」と思う方もいるかも知れません。

しかし“サイバー攻撃を受けたこと”も重要な情報です。対策・分析には事実の正確な把握が必要。自社で問題が起きたら、しかるべき組織に報告し、社会的被害の拡大を防止しなければなりません。

共有すべき相手先とは

ガイドラインで挙げられている共有先（最低限認識すべき先）は3箇所です。

1. IPA（独立行政法人情報処理推進機構）
2. 一般社団法人JPCERTコーディネーションセンター
3. 日本シーサート協議会

1. IPA（独立行政法人情報処理推進機構）

まずはIPAです。

IPAは、経済産業省と協力して、サイバーセキュリティ経営ガイドラインを作成した組織です。

情報処理資格試験や様々なIT関係の啓蒙活動などを行っており、また政府のサイバーセキュリティ戦略により予算も増額され、今後一層の活躍が期待されている組織です。

WEBサイトでは、社員向けの無料の教育ツール等、社内人材育成にも利用できるものが多数公開されておりますので、積極的に活用しましょう。

このIPAのWEBサイトに「届出・相談・情報提供」というページが設けられていますので、ウィルス感染や不正アクセスなどが見つかった際は、こちらから報告を行いましょう。IPAで分析や各所への報告が行われ、同様の攻撃を受けた他所への被害を食い止めることができます。

サイバー攻撃を受けたという報告は、企業の「社会的責任」でもあるということを念頭においてください。

2. 一般社団法人JPCERTコーディネーションセンター

次に、JPCERT CC（コーディネーションセンター）です。

IPAが独立行政法人であるのに対し、JPCERT CCは、政府や企業から独立した中立組織です。サイバーの世界では、各国の思惑でハードウェアにバックドアが予め仕込こまれたりすることも度々ありますので、中立組織の存在は重要となります。

こちらもIPAと同様の活動を展開していますが、設立当初からエンジニアの有志が集まっていたこともあってか、どちらかというとエンジニア向けの印象があります。

3. 日本シーサート協会

日本シーサート協議会は、問題を未然に防ぐだけでなく、問題が発生した時にどう動くかを中心に検討する組織です。企業の存続のための“マネジメント視点”から、対策を捉えます。

サイバーセキュリティの問題が起きた時「よく分からないから、SEに任せた」ではなく、予め下記項目等を定めておくのがCSIRT（シーサート）の役割です。

• 対応をしなければならない事項
• 記者会見
• 財源確保
• 関係者への連絡
• 臨時の事務処理等
• システム分野以外で必要な項目
• 誰が何をするか

その横の繋がりを持つのが、日本シーサート協議会です。

ある程度の規模を持つ企業は、事業継続・リスクマネジメントの観点から、CSIRTを構築することが推奨されていますので、その様に認識しておきましょう。

双方向の情報共有が重要

この様に、組織と“双方向に”情報共有をすることで、日本全体のサイバーセキュリティ水準を上げること、それがサイバーセキュリティ経営ガイドライン指示8の目的です。

自分の会社で起きたこと、それは国内の沢山の企業で起こっていることかも知れません。隠していたら、他の企業でも起こります。早く連絡すれば、救える会社もあるでしょう。

最早、日本の社会全体でサイバーセキュリティ対策に取り組まなければならない時代なのです。

次回が、このシリーズの最後になります。

実際にサイバーセキュリティの問題が発生したときどう動くか。指示9「緊急時の対応体制の整備、定期的かつ実践的な演習の実施」、指示10「被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備」について説明します。