ベースラインAPT対策コンソーシアムが主催する「第7回サイバーセキュリティ対策セミナー」の内容をまとめます。
【基調講演】セキュリティガバナンス
まずはS&J株式会社代表取締役の三輪信雄氏による基調講演です。2015年に公開された「サイバーセキュリティ経営ガイドライン」。2019年度末に公開される改定版のポイントや、海外拠点等を含む大手企業における「グループセキュリティガバナンス」についてお話を伺いました。
サイバーセキュリティ経営ガイドラインとは
サイバーセキュリティ経営ガイドラインが公開された2015年当時、日本企業のサイバーセキュリティに対する意識は非常に低く、セキュリティ対策は欧米に比べかなり遅れている状況でした。
- パソコンを触ったことがない
- メールの確認は従業員に任せている
- セキュリティ対策にお金をかけたくない
経営者の殆どがこのような考えを持っている中、日本政府は経済産業省主導でサイバーセキュリティに関するガイドラインを作成に取り組んだのです。
サイバーセキュリティ経営ガイドラインで確認すべき内容
サイバーセキュリティ経営ガイドラインは、経営者、CISO、子会社、サプライチェーン、従業員などあらゆる対象について、必要なセキュリティ対策を細かく明記しています。
内容 | 項目 | |
---|---|---|
指示5 | サイバーセキュリティリスクに対応するための仕組みの構築 | 多層防御の実施、ログ監視・検知の仕組み作り、従業員教育など |
指示7 | インシデント発生時の緊急対応体制の整備 | ログ分析、フォレンジック、再発防止策の検討など |
指示8 | インシデントによる被害に備えた復旧体制の整備 | 被害範囲の特定、最小化、全面的復旧など |
指示9 | ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 | 契約、セキュリティ対策状況の報告、定期的な確認、サイバー保険など |
「何をどのように行うべきか」を細かく記載することで、日本全体の”セキュリティレベの底上げ”を目指しているのです。
また、IPAからは「プラクティス集」が出されており、事例を元にした解説が掲載されています。セキュリティ経営ガイドラインと合わせて確認することで、自社に合ったセキュリティ対策が実施できます。
サイバーセキュリティ経営ガイドラインの改定について
サイバーセキュリティ経営ガイドラインはこれまでに数回改定されており、その都度研究会による議事録も公開されています。改定時にはこの議事録を確認することで、改定に至った経緯や、より詳細な内容を知ることができます。
2019年度末に出される改定版に伴い、第一回〜第三回の議事録が公開されています。今回の改定では「セキュリティ対策の可視化」がポイントとなっており、チェックリストがアップデートされています。これまでのチェックリストに比べ、5段階で成熟度を確認するなど、より”深く”自社のセキュリティ対策を可視化することができるようになるのです。
参照2019年度 サイバーセキュリティ経営ガイドライン改訂に関する研究会/IPA
万が一インシデントが発生してしまった場合、”セキュリティ対策を可視化していたのか”、”経営者がきちんと把握していたのか”といった点が重要となってきます。経営者が「知らなかった」というのは、許されません。公開されている資料をきちんと確認し、自社に落とし込む必要があるのです。
グローバルセキュリティガバナンスについて
サイバーセキュリティ経営ガイドラインでは、グループ企業・サプライチェーンに対してのセキュリティ対策についても記載されています。
海外拠点を持つ大手企業などでは、日本と同様のセキュリティ対策を行っても十分な環境を構築することは難しく、時間がかかってしまうケースも多々見られます。特に東南アジアなど、日本よりもセキュリティ意識が乏しい拠点の場合、現地のITベンダーでは十分な対策が行えない可能性もあり、大きな問題となっています。
本社でのSOC監視やEDR製品導入、非常駐のセキュリティ支援を活用するなど、海外拠点を含む大手企業での成功事例を参考に、自社に合ったセキュリティ対策を検証することが大切です。
【特別講演】DeNAが考える「事業と整合するセキュリティポリシー」の作り方
次に株式会社ディー・エヌ・エーの岡村隆行氏による特別講演です。「セキュリティポリシー」の作成・見直し方法についてお話を伺いました。
セキュリティポリシー改定作業のスタート
株式会社ディー・エヌ・エー(以下DeNA)のセキュリティポリシーは策定から約6年が経過し、現状の事業内容やセキュリティ事情の変化に対応できない部分も出てきており、改定作業がスタートしました。
まず意識したことは「ベストプラクティスを活用する」ということです。日々増加しているサイバー脅威全てを網羅するセキュリティポリシーを一から作成することは”合理的ではない”との考えから、様々な団体から出ているガイドラインの確認作業から取り組み始めたそうです。
経済産業省 | サイバーセキュリティ経営ガイドライン |
---|---|
NIST | Framework for Improving Critical Infrastructure Cybersecurity |
Center for Internet Security | CIS controls |
個人情報保護委員会 | 個人情報保護に関する法律についてのガイドライン |
情報セキュリティマネジメントシステム(ISMS) |
各事業の特性や脅威について考える
ベストプラクティスを選択する際、まず各事業の特性や脅威についての整理を行いました。当社はサイバー空間での事業が多いことから、NISTをベースとしたサイバーセキュリティに強いベストプラクティスを活用することにしました。さらにDeNAの主力事業であるゲーム・エンタメ分野では「アプリの改ざん」がリスクであり、Eコマースでは「不正アクセス」、ヘルスケア分野では「要配慮個人情報の保護」等が必須となります。各事業・サービスの特性を理解し、意識しなければならない脅威について明確にすることで、ベストプラクティスをそのまま適用するのではなく、事業との整合性の高いセキュリティポリシーに近づけることにしました。
また、日々各事業部から届く「セキュリティ相談」についても、ジャンル・内容を紐解くことで、業務の進め方や責任の所在を整理していきました。
セキュリティポリシー改定のポイント
各事業の特性や脅威、セキュリティ相談の内容を精査した上で、セキュリティポリシーに含むべき主要なコントロールは大小合わせて約150項目。設計時には下記のポイントを意識していました。
- ベストプラクティスを参考に、各事業の特性を踏まえて
- リスクの低減が目的で、保守的になりすぎないように
- 運用のオーナーを明確化し責任の所在をはっきりとする
- リスクが低い案件は事業部が個々の判断で実施できるように
- リスクが高いものはセキュリティ部が事業部を支援できるように
その後、設計した各項目と実際の活動にギャップがないか、主要事業部に確認が行われました。セキュリティポリシーを活用していくのは現場であり、その視点が加わることで精度の高いポリシーになっていくと考えたからです。実現可能なのか、より良い方法があるのではないか、各事業部からの意見を参考に修正作業が行われました。
また、リリースの前段階として全事業部からパブリックコメントを募集したそうです。セキュリティポリシー改定の特設ページを設け「セキュリティポリシー改定版」「改定箇所の説明資料」「新旧対比表」を掲載し、パブリックコメントを元にさらなる修正が行われました。
セキュリティポリシーの運用
こうして完成したセキュリティポリシー改定版は、現在リリースに向け最終手続きが行われています。
しかし、セキュリティポリシーは策定しただけでは意味がありません。ポリシーを”運用”していくことが重要です。周知・啓発活動としては、「セキュリティポータルサイト」の充実を検討しており、FAQ等のコンテンツの準備、効果的な教育等をすることを考えています。また事業部がセキュリティポリシーを遵守しているのか、それともポリシー自体が事業と整合していないかを確認するためのモニタリングも行っていくとしています。
- セキュリティポリシーの改定
- モニタリング
- 改善活動
このような一連の流れを継続することで、事業と整合するセキュリティポリシーは実現されるのです。
ベースラインAPT対策コンソーシアム(BAPT)
高度標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。
参加企業は、ニュートン・コンサルティング、フェス、ゾーホージャパン、インフォメーション・ディベロプメント、チェック・ポイント・ソフトウェア・テクノロジーズ、サイバーソリューションズ、ウェブルート、ベル・データ。
過去7回開催のセミナーレポートなどは以下よりご覧いただけます。
サイトBAPT主催セミナー
団体名 | ベースラインAPT対策コンソーシアム Baseline APT-Solution Consortium(BAPT) |
---|---|
構成メンバー |
|