企業が採用するセキュリティフレームワークについて|サイバーセキュリティ.com

企業が採用するセキュリティフレームワークについて



政府機関や企業などをターゲットにしたサイバー攻撃は年々手口が巧妙になり、より精緻なものとなっています。

多岐にわたる攻撃手法と対策

jp2

DDoS攻撃による不特定多数の端末からのターゲットに対する攻撃や、OSや各種ソフトウェアの脆弱性の問題に対してベンダー側の対応が整う前に、それを悪用するゼロデイ攻撃、そして、特定の企業や個人をターゲットとして行われる標準型攻撃など、その手法は多岐にわたっています。

当然、こういった事態に対してターゲットにされる側の政府機関や企業なども、そのまま手をこまねいて見ているわけではありません。セキュリティ対策として、各種のソフトウェアを導入、そしてネットワーク上には侵入検知システム(IDS)を設置し、不正なアクセスを防ぐなどの対策を行っています。

しかし、実際にはここ数年報道でもみられるように、不正アクセスなどによる個人情報の流出事件は後を絶ちません。もちろん、流出の原因は不正アクセスに限らず、PCやUSBメモリの紛失やマルウェア感染など多岐にわたっています。

こういった事態を踏まえ、企業側でも従来はセキュリティ対策ソフト、ゲートウェイ対策、といった単発の対策を行ってきたのに対して、組織として統一されたサイバーセキュリティに対する基本指針を策定し、それに基づいた包括的な対策を取る必要性に駆られてきています。企業が包括的なサイバーセキュリティ対策を取るにあたり、重要なことは以下の2点です。

セキュリティ対策での重要な2つのポイント

  1.  包括的なセキュリティフレームワークを構築する
  2. 1を使ってセキュリティマネジメントシステムを構築する

日本の企業の多くは、サイバーセキュリティの基本指針を策定するにあたり、セキュリティフレームワークとしてISO27001(ISMS)を採用するケースが多くなっています。

同様のフレームワークとしては、

  • NISTサイバーセキュリティフレームワーク
    米国の国立標準技術研究所(NIST)が作成
  • SANS 20クリティカルコントロール
    ITセキュリティ教育の専門機関であるSANS Instituteがまとめた
  • ISFグッドプラクティス標準
    セキュリティ関連企業で作る世界的なフォーラムであるInternational Security Forum (ISF)がまとめた

なども挙げられ、企業や組織がまず自社の基本的なセキュリティポリシーを策定する際には、これらのフレームワークを活用することが出来ます。

フレームワークの採用

先ほどわが国ではISO27001の採用が進んでいると述べましたが、世界的にはISO27001に比べて、より最新の攻撃手法に対する「リスク」や「検知」といった点を重視したリスクベースの観点に立つNISTサイバーセキュリティフレームワークの採用が多くなってきている傾向があります。

これらのフレームワークには、企業や組織としてサイバーセキュリティについてどうあるべきか、そしてどう運営すべきなのかということについて、平常時の対応について記載されています。

加えて、災害時などにどのようにして情報システムをサービス継続、あるいはサービス回復させて、組織のビジネスを継続していくかBCP(事業継続性)という観点からの指針、そして情報漏えい事件など問題を引き起こした場合の対応など様々なケースを想定して、どういうことを組織の指針として決めておく必要があるのかということが書かれています。

おわりに

重要なことは、これらを自分の組織や企業に合うようにアレンジしながら、かつ効果を損なわないような形で読み込んで、セキュリティ方針を策定することです。

そして、それが出来れば、セキュリティ基本方針として企業の中で、実際に運用を行うわけですが、その際には、運用しながら常にチェックを行い、実情に合わなくなった場合、また、法律の改正などが発生した場合は、随時見直しを行って、常に実効力のあるものにしておくことが必要です。


SNSでもご購読できます。