こんにちは、さとうです。
2019年3月25日にIPAから
「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」
が公開されています。
これは、2017年11月に発行されたサイバーセキュリティ経営ガイドラインVer 2.0 の実現のために、国内で実際に行われている事例を基にしたプラクティス集です。
上記ガイドラインに記載のサイバーセキュリティ経営の重要10項目と、セキュリティ担当者の悩みを対象とし、実践手順、実践内容、取組む際の考え方、ヒントを実践のプラクティスとして示しています。
なお、重要10項目とは、以下の内容になります。
<サイバーセキュリティ経営の重要10項目>
指示1.サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2.サイバーセキュリティリスク管理体制の構築
指示3.サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4.サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5.サイバーセキュリティリスクに対応するための仕組みの構築
指示6.サイバーセキュリティ対策におけるPDCAサイクルの実施
指示7.インシデント発生時の緊急対応体制の整備
指示8.インシデントによる被害に備えた復旧体制の整備
指示9.ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10.情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
ここでは、上記重要10項目を対象としたプラクティスの実践ステップを主に紹介します。
<プラクティスおよび、実践のステップ>
■指示1.サイバーセキュリティリスクの認識、組織全体での対応方針の策定
▼プラクティス1-1:経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告
・A社の実践のステップ
① サイバー攻撃事例等を紹介するWebサイトから他社の業務停止事例等を収集する
② 同様の被害が自社で発生する可能性を分析し、追加対策の要否を検討する
③ 上記の収集・分析・検討結果をCISO等が経営者の参加する経営委員会で定期報告する
▼プラクティス1-2:サイバーセキュリティリスクに対応するための、セキュリティポリシーの改訂・共同管理
・B社の実践のステップ
① 既存のセキュリティポリシーにサイバーセキュリティの観点で新規追加する内容を整理する
② 総務部と協力の上、既存のセキュリティポリシーを改訂する
■指示2.サイバーセキュリティリスク管理体制の構築
▼プラクティス2-1:サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築
・C社の実践のステップ
① グループ子会社含め、組織のサイバーセキュリティに関係する部門・担当者を選定する
② 委員会の役割や招集した部門・担当者の責任範囲を合意する
③ 委員会の運営を通じてサイバーセキュリティリスク管理、サイバーセキュリティ対策実施を推進する
■指示3.サイバーセキュリティ対策のための資源(予算、人材等)確保
▼プラクティス3-1:サイバーセキュリティ対策のための、予算の確保
・A社の実践のステップ
① 未対応の対策について、他社のサイバー被害事例を元に、自社でのインシデント発生可能性を見積もり、必要な追加対策とその費用概算を検討する
② 必要な追加対策、優先度と概算費用を経営会議へ報告し、対応時期を検討する
▼プラクティス3-2:サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成
▼プラクティス3-2:サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成
・C社の実践のステップ
① 自組織に必要な役割のうち、専門ベンダを活用する領域、自社で対応が必要な領域を整理する
② ①の整理結果それぞれに対し、必要な能力・スキルをIT統括部内で協議、決定するその上で、担当者をアサインし、責任を与える
③ 担当者の育成に必要な教育や研修を洗い出し、受講させる
■指示4.サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
・実践のステップ(事例の記載なし)
➢ 自社が保有する情報や利用するシステムを把握し、経営戦略の観点から守るべき情報とシステムを特定する
➢ サイバー攻撃の脅威や影響度から自社のサイバーセキュリティリスクを把握し、対応する
■指示5.サイバーセキュリティリスクに対応するための仕組みの構築
▼プラクティス5-1:多層防御の実施
・D社の実践のステップ
① 最重要システムについて、持ち込みPCや可搬記憶媒体の利用が常態化していないことを確認した
② 標的型攻撃を脅威シナリオとし、標的型攻撃のメールが社内のメールゲートウェイをすり抜けて端末へ到達し、C&Cサーバとの通信が確立したとの前提で、問題点を調査した
③ 業務システムやOSの権限設定等のアクセス制御に一部不備があること、そして最重要システムへ、ネットワーク上のどの端末からでも参照できる状態であることが判明した
▼プラクティス5-2:アクセスログの取得
・D社の実践のステップ
① ログを取得すべきサーバを、不正アクセスのターゲットとして懸念される「最重要システム(A工場とB工場の制御系システム)」と「ユーザ認証機能をもつシステム」と定めた
② 現在の設定では、社内を踏み台とした不正アクセス等が発生した際の調査を実施するためのログが不足しており、保管方法も再検討が必要であることが判明した
■指示6.サイバーセキュリティ対策におけるPDCAサイクルの実施
・実践のステップ(事例の記載なし)
➢ 自社のセキュリティ対策の状況や水準を評価する
➢ 評価結果については、問題点や改善策を含め経営者に報告する
■指示7.インシデント発生時の緊急対応体制の整備
▼プラクティス7-1:旗振り役としてのCSIRTの設置
・E社の実践のステップ
① IPAが発表する「情報セキュリティ10大脅威」のうち、自社でも起こりうる上位5件の脅威シナリオについて、インシデント発生時に対応を旗振りする部署と対応部署を決める
② 旗振り部署については、社内のポータルサイトに掲載する等、インシデント発生時の報告窓口として周知する
▼プラクティス7-2:従業員の初動対応の定義
・E社の実践のステップ
① IPAが発表する「情報セキュリティ10大脅威」のうち、自社でも起こりうる上位5件の脅威シナリオについて、証拠保全の観点からインシデント発生時における従業員の初動対応を定義する
② 社内のポータルサイトに掲載する等、 CSIRTからインシデント発生時の初動対応を周知する
■指示8.インシデントによる被害に備えた復旧体制の整備
▼プラクティス8-1:インシデント対応時の危機対策本部との連携
・F社の実践のステップ
① インシデント対応により意図的にシステム機能を制限したり、停止するケースを洗い出す
② 危機対策本部との連携を考慮したインシデント対応の判断フローを策定する
▼プラクティス8-2:組織内外の連絡先の定期メンテナンス
・F社の実践のステップ
① 必要なIT部門が災害時の連絡先に含まれているか確認し、抜け漏れがあれば追加する。
② BCP訓練対象でない連絡先について、訓練と同期して担当者の電話番号・メールアドレスに変更がないか、確認する
③ 災害発生時に利用する、BCP向けに存在している全ての連絡先にテストメールを発信する
■指示9.ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
▼プラクティス9-1:サイバーセキュリティリスクのある委託先の特定と対策状況の確認
・G社の実践のステップ
① 委託元部署へのアンケートを通じて、取引先/委託先に対して業務におけるインターネットの利用等、サイバーセキュリティリスクの有無を調査する
② サイバーセキュリティリスクのある取引先/委託先に対して、サイバーセキュリティ対策状況に関するアンケート調査を実施する
③ 把握した課題やリスクは一覧化し、経営者に報告するとともに、組織として対応方針を検討する
■指示10.情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
・実践のステップ(事例の記載なし)
➢ サイバーセキュリティに関する情報共有活動に参加する
➢ 情報を提供・収集し、自社のサイバーセキュリティ対策に活用する
実践する内容やステップ、得られた知見、アウトプットの例などが記載されており、必ずしも記載の方法に沿う必要はありませんが、計画・実行上の参考になる内容が多く記載されています。
ゼロから考えるよりもこのような資料を参考にし、実現段階で詳細を決める際には専門家の力を借りるのがスムーズに進める方法になると考えられます。
さとう