読者です 読者をやめる 読者になる 読者になる

SPONSORED LINK

サイバーセキュリティ経営ガイドラインとは?企業経営者がサイバー攻撃対策を真剣に講じる時代へ!

f:id:security-security:20170430190939j:plain

モノのインターネット化(IoT)の時代を飛び越え、デジタルトランフォーメーションやドローン革命へと時代が前進し始める現代において、経済産業省がサイバーセキュリティ経営ガイドラインver1.1を経営者に向けて提示しました。

 

最大限の収益を獲得する為にビジネスと情報技術の組み合わせが極めて重要な時代へと突入している事を意味しており、サイバーセキュリティ対策への経営者としての基本姿勢を知る良い機会と言えます。

 

SPONSORED LINK

 

サイバーセキュリティ経営ガイドラインと経営者の関係性とは?

f:id:security-security:20170430191214p:plain

情報革命が生じ、モノのインターネット化を通じて私たちの生活にあるあらゆるモノがインターネットと接続されている最中にあって、時代はAIを搭載した自立型ドローン開発やBitcoin革命と忙しなく進化をし続けています。

 

その渦中にあって経営者がサイバーセキュリティ経営ガイドラインを通じて、どうやってサイバー攻撃対策をするべきかや、どんな専門家に意見を聞けば良いのか等の詳細な情報がまとまっているのが、今回のガイドラインとなる。

 

サイバーテロ・サイバーアタック・ゼロデイアタック脆弱性への対処など何をして良いのかわからない側の経営者が知るべき必読ガイドラインという訳です。

 

まず、今ガイドラインで経営者がまず知るべきサイバー攻撃から自社・関連企業・提携先企業を守る為の3原則をお伝えする。

 

経営者が知るべきサイバー攻撃に対する3原則 

1. 経営へのIT活用が増加傾向にある状況において、サイバーセキュリティ対策は経営戦略上重要であり、経営者はリーダーシップを持って行動する

2. 自社・子会社・ビジネスパートナーへの配慮を含めたサイバーセキュリティ対策が大きなリスクヘッジに繋がる

3. 企業のステークホルダー(顧客・株主)の信頼感を高め、サイバー攻撃を受けた際に不信感を得ないように平時情報開示・適切なコミュニケーションが必要

 

上記がサイバーセキュリティ経営ガイドラインが策定する経営者が知るサイバー攻撃対策を講じる上での基本的な行動原則である。

 

詳細はサイバーセキュリティ経営ガイドラインを参照してほしいが、サイバーセキュリティ対策を企業が行わない事は概して自社・他者・顧客に対する甚大な損害を与える点を土台にサイバーセキュリティ対策を講じると良いと言及している。

 

サイバー攻撃対策として企業ができる8つのことにて詳しくサイバー攻撃対策に対して企業がどうするべきか書いている為、具体的指針としてお読みください。 

 

さて、それと同様に情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO 等) に指示すべき「重要10項目」を今ガイドラインは提示している為、合わせてお伝えする。

 

情報セキュリティ対策担当幹部に指示すべき「重要10項目」1〜5

指示1:サイバーセキュリティリスクへの対応について、組織の内外に示すための方 針(セキュリティポリシー)を策定すること。

指示2:方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者 をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること。 その中で、責任を明確化すること。

指示3:経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出す とともに、そのリスクへの対処に向けた計画を策定すること。

指示4:計画が確実に実施され、改善が図られるよう、PDCA を実施すること。また、 対策状況については、CISO 等が定期的に経営者に対して報告をするととも に、ステークホルダーからの信頼性を高めるべく適切に開示すること。

指示5:系列企業やサプライチェーンのビジネスパートナーを含め、自社同様に PDCA の運用を含むサイバーセキュリティ対策を行わせること。

情報セキュリティ対策担当幹部に指示すべき「重要10項目」6〜10 

指示6:PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な 予算の確保や人材育成など資源の確保について検討すること。

指示7:IT システムの運用について、自社の技術力や効率性などの観点から自組織 で対応する部分と他組織に委託する部分の適切な切り分けをすること。また、 他組織に委託する場合においても、委託先への攻撃を想定したサイバーセキ ュリティの確保を確認すること。

指示8:攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状 況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公 的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がるこ との未然防止に貢献すること。

指示9:サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、 CSIRT(サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかる インシデントに対処するための組織)の整備や、初動対応マニュアルの策定など 緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施す ること。

指示10:サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情 報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要 な説明ができるよう準備しておくこと。

 

以上がおおよそ知っておくべきサイバーセキュリティ経営ガイドラインの経営者サイドに対する全容となる。

 

次項からはサイバーセキュリティ経営ガイドラインで知っておくと良い興味深い部分を抜粋していくので、読んで頂ければ幸いだ。

SPONSORED LINK

 

サイバーセキュリティは経営問題へと変化している

f:id:security-security:20170430170721j:plain

今回、サイバーセキュリティ経営ガイドライン経済産業省IPAと共に提示した理由とした上げられるのはサイバーセキュリティ対策が企業が取り組むべき経営問題へと変化しているにも関わらず、具体的な取り決めや行動指針の共有が出来てない事が挙げられる。

 

最近ではMicrosoft社のWordファイルへのゼロデイ攻撃などのサイバーアタックがある事実すらあまり知られておらず、サイバー攻撃に対する対処が大切だと感じていても行動に移せていない企業経営者が多い現状がある事も大きな理由の1つだろう。

 

そして、サイバーセキュリティ経営ガイドラインを通じて、企業経営者がサイバー攻撃に対する防衛力の向上という企業価値のためにどれくらいのセキュリティ投資をすべきかを考える良い時期でもあると言える。

 

現在では個人情報・機密情報・技術情報が流出しても企業単位で倒産にまで追い込まれる自体にはなっていないが、今後はより個人情報などに対する取り扱いも厳しくなるからこそ、より厳重なサイバー攻撃対策を企業が考える必要がある。

 

企業の『約40%』がサイバー攻撃を受けている

ガイドラインによれば企業の約40%がサイバー攻撃を受けた経験があるとのアンケートを取っており、実質的に被害にあった企業はその内の10%程度ではあったのものの気づいたらサイバー攻撃を受けていたという杜撰な状況だ。

 

全体の10%しかサイバー攻撃被害を受けていない事は安堵すべき事ではなく、シンプルに10社に1社サイバー攻撃を受けて被害を被り、ステークホルダーからの信頼や取引先へと深刻なダメージを与えてしまう恐れがある事を意味している。

 

ゼロデイ攻撃(未知の脆弱性へのサイバー攻撃)という訳ではなく、企業それ自体を狙った標的型攻撃が増加している傾向からも各社の経営者がサイバー攻撃対策をする必要がある事が分かるだろう。

 

マルウェア感染に対する多層防御措置と対象方法

f:id:security-security:20170430170227j:plain

サイバーセキュリティ経営ガイドラインの22P目ではマルウェア感染の予防のみならず、感染後の被害回避・低減のために複数の対策を多層に重ねる「多層防御措置」を行うことを推奨しており、1度感染したあとの対処方法などを考慮した善後策を考えるための知識が掲載されている。

 

具体的には次の内容だ。

 

・感染防止対策(マルウェア対策ソフト)のみ実施している場合、未知のマルウェアに感染すると、被害をくい止めることができない。

マルウェア対策ソフトやネットワーク出口へのファイヤーウォール導入のような1つの機器やソフトウェアに依存するだけではなく、ネットワーク全体での対策を心がけ、侵入→感染→拡大という攻撃フェーズに応じた拡大防止及び緩和を図れる柔軟な対策実施が必要である。

・ネットワーク出入り口に設置される機器の各種ログが記録・保存され、またこれを内部あるいは外部監視サービスにより定期的にチェックされていない場合、不正な通信の発生を検知することができない。

 

マルウェア、つまり不正なソフトウェアを誤ってダウンロードした後の対処方法を記述してくれているので、自社のセキュリティ対策人材と合わせてサイバー攻撃を受けた場合の対応策を考えておくのも良いだろう。

 

参照URL

サイバーセキュリティ経営ガイドライン