企業の情報システム部門は会社の情報資産を守るため
様々なセキュリティ対策を実施します。
サイバーセキュリティとは、企業や団体の情報資産である機密情報や個人情報のデータなどを悪意のある攻撃者から防御するために講じる対策のことです。「サイバーセキュリティ」という単語は文脈によって意味が異なるため、明確な定義はありません。サイバーセキュリティ基本法ではデータ、情報システム、情報通信ネットワークを安全に保つための対策を講じて維持することを意味している為、サイバーセキュリティの定義はかなり広い意味を持ちます。従ってサイバーセキュリティは、外部からのサイバー攻撃への対策をはじめ、インターネットを通じた攻撃に限らずUSBメモリなどの外部記録媒体を用いた不正プログラムの実行やデータ搾取など、多岐にわたるサイバー攻撃から対策をする為の取り組みを示します。
データなどのセキュリティを保つためにの対策としては、サイバーセキュリティの単語の他に「情報セキュリティ」も従来から広い意味で用いられてきました。情報セキュリティは、企業や団体が保有する情報の「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持することです。英字の頭文字を略して情報のCIA(情報セキュリティの3要素)と呼ばれることもあります。
日本のサイバーセキュリティ政策を担う政府機関も、かつては「情報セキュリティ」の単語を用いてきました。現在は、サイバーセキュリティ基本法に基づき設置されたサイバーセキュリティ戦略本部及びその事務局である内閣官房内閣サイバーセキュリティセンター(NISC)が存在しますが、NISCは、基本法制定前は「内閣官房情報セキュリティセンター」という名称の組織でした。
近年では、安心・安全なサイバー空間を維持する方策が必要という観点から、「サイバーセキュリティ」という単語が用いられることが増えており、基本法に置いて「サイバーセキュリティ」という定義が置かれていることもあり、官民データ活用推進基本法(平成28年(2016年)法律第103号)、情報処理の促進に関する法律(昭和45年(1970年)法律第90号)を始め、様々な法律で「サイバーセキュリティ」の定義が引用されています。
「情報セキュリティ」と「サイバーセキュリティ」は、基本的には異なる意味ではないと考えられています。情報セキュリティ三要素(CIA)も、基本法の定義にいう「情報漏えい、滅失または毀損の防止その他の該当情報の安全管理のために必要な措置」に含まれていると考えられていますので、相当な部分が重複していると言えます。
しかし、サイバーセキュリティは、情報以外にも情報システム、情報通信ネットワークを明確に保護客体としていますので、情報セキュリティよりも広い概念として見ることも可能です。一方で、サイバーセキュリティにおける「情報」には、データ以外の情報が含まれず、データ以外の情報に関するセキュリティを保つという意味では、サイバーセキュリティではないが情報セキュリティに含まれる場合もあります。このように情報セキュリティ、サイバーセキュリティと両者は厳密にはまったく同じというわけでは無いとも言えます。
一般的には情報セキュリティの中にアプリケーションセキュリティが含まれていると考えられています。アプリケーションセキュリティとは、企業や団体が保有するWebサイトやスマートフォンアプリ、製造し販売しているソフトウェアに対し、データやコードを盗難や乗っ取りから保護することです。詳しくは次のページで情報セキュリティの説明とアプリケーションセキュリティの説明をご覧ください。
サイバーセキュリティ基本法では、データ、情報システム、情報通信ネットワークを安全に保つための対策を講じて維持することを定義しています。ITシステムを安全に保つためには、ITシステム全体の観点で統合的にサポートをするシステム運用を実施する必要があります。システム運用はBCP/DR(事業継続計画/ディザスタリカバリ)の為にシステムをバックアップをすることや、セキュリティ対策の為にシステムの脆弱性を確認したり不正アクセスから防御するために様々な対策を講じるなど、システム運用の業務内容は多岐にわたります。
アイティーエムはシステムマネジメント事業を主軸とするMSP事業者です。当社が考えるMSPは「MCSSP」と呼び、新しいシステムマネジメントサービスの形態です。
MCSSP = 「MSP(Managed Service Provider)」+「CS(Cloud & Security)」
従来から存在するMSP(Managed Service Provider)事業をベースとして、昨今のIT環境にて特に注目されている「クラウド利用」と「セキュリティ対策」をより強化したサービスでお客様の安心・安全で、快適なシステム運用をご支援します。
詳しくは下の画像をクリックしサービスサイトをご覧ください。
総務省は「サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他当該施策の基本となる事項等を規定しています。」と定義されています。
【引用】サイバーセキュリティ基本法(総務省)
サイバーセキュリティ基本法(平成26年(2014年)法律第104号、以下「基本法」という)2条に定義されている「サイバーセキュリティ」を前提としています。この法律は、サイバーセキュリティを「...電磁的方式...により記録され、又は発信され、伝送され、若しくは受信される情報漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム(情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること」と定義しています。 即ちサイバーセキュリティ基本法とは、データ、情報システム、情報通信ネットワークを安全に保つための対策として、それを維持することを意味しており、かなり広い定義であると言えます。
サイバーセキュリティ基本法の定義に関するポイントとして、以下の点が挙げられます。
「情報」には形がありません。何らかの記録媒体に保存されたデータはもちろん、誰かが発した言葉や、人の脳の中に記録されているものも「情報」にあたります。サイバーセキュリティの文脈において保護対象となる「情報」は、電磁的方式によりやり取りされるもの、つまりサーバや端末、記録装置などの記録媒体に保存されたデータに限定されます。
サイバーセキュリティ対策という場合、外部からのサイバー攻撃に対してファイアウォールの構築などの技術的な手段によって対策を行うといった方策もありますが、基本法はそのような限定はしていません。
外部からのサイバー攻撃(サイバーテロ、サイバー諜報活動(サイバーインテリジェンス、サイバーエスピオナージ)を含む)への対策はもちろんのこと、他にも例えば、企業の従業員による機密性の高い情報(データ)の不正な持ち出し等の内部不正への対策、不正送金への対策などもサイバーセキュリティに含まれます。
さらに、基本法の定義には、情報システムの安全性および信頼性の確保の対策も該当しますので、災害などによる大規模停電や、人為ミスなどによって企業の情報システムに障害が発生した場合に、迅速に復旧するための措置に関しても、サイバーセキュリティに含まれることになります。
基本法の定義における「情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動」という文言は、サイバー攻撃を念頭に置いたものであり、これによる被害を防ぐために必要な措置を講じ、維持することもサイバーセキュリティの定義に含まれます。即ちインターネットを通じたオンラインの状態だけではなく、USBメモリなどの記憶媒体の持ち込みや、フロア入退出による施錠管理などのオフライン状態の物理的なセキュリティ対策も講じなければいけないという事になります。
サイバーセキュリティ対策本部とは、基本法25条に基づき内閣の基に設置されているサイバーセキュリティ政策を推進するための期間のことです。定期的にサイバーセキュリティ戦略本部会合を開催しています。
内閣サイバーセキュリティセンター(通称:NISC(ニスク))とは、サイバーセキュリティ戦略本部の事務局を務める内閣官房の一機関のことです。サイバーセキュリティ戦略本部の事務局として、同本部による決定文書のドラフトやWebサイトでの公表なども行っています。
サイバーセキュリティにおける総務省とは、インターネットの基礎となる情報通信に関して電気通信事業法を保管しており、IoT機器など情報通信の観点からサイバーセキュリティ対策に取り組んでいる行政機関です。総務省は「サイバーセキュリティタスクフォース」において様々な公表物を公開しています。
経済産業省は、情報処理技術や産業振興の観点からサイバーセキュリティ対策に取り組んでいます。「産業サイバーセキュリティ研究会」などを通じて様々なガイドラインなどを公開しています。
警察庁はサイバー犯罪を取締という観点からサイバーセキュリティ対策に取り組んでいます。関係の深いサイバー犯罪対策を行う団体として、一般財団法人日本サイバー犯罪対策センター(JC3)があげられます。
国立研究開発法人情報通信研究機構(NICT)は、サイバーセキュリティに関する研究や、人材育成のためのナショナルサイバートレーニングセンターなどが設置されています。また、実践的なサイバー防御演習(CYDER)を開催しています。
独立行政法人情報処理推進機構(IPA)は内部組織としてセキュリティセンターが設置されており、サイバーセキュリティに関する情報共有体制「J-CSIP(ジェイシップ)」、インシデント対応の手助けを行うサイバーレスキュー隊「J-CRAT(ジェイクラート)」、クラウド安全性評価制度「ISMAP(イスマップ)」など、サイバーセキュリティに関する様々な取り組みを行っています。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、サイバーセキュリティに関する専門機関であり、非営利組織として活動しています。インシデントへの対応や日本におけるCSIRT(シーサート)(サイバーセキュリティに関するインシデントに対応するための組織またはその機能のこと)の窓口などを務めています。インシデント対応の窓口を設ける等をして相談の受付体制を整えています。
経営ガイドラインは「サイバーセキュリティは経営問題」と定義し、
経営者を中心として組織的な対策の見直し・強化を求めています。
【引用】サイバーセキュリティ経営ガイドライン Ver2.0(経済産業省)
サイバーセキュリティ経営ガイドラインとは、サイバーセキュリティが経営課題であることを前提としつつ、経営者が認識すべき3つの原則と、サイバーセキュリティ経営における重要な10項目を上げているガイドラインのことです。独立行政法人情報処理推進機構(IPA)は「サイバーセキュリティ経営ガイドラインver2.0実践のためのプラクティス集(第2版)」を公開しており、経営ガイドラインで示された事項を実践するための参考となります。企業のサイバーセキュリティは、全社的に組織的に経営課題としてリスクマネジメントを行う必要があります。近年の企業はITやICTに対する依存度が高まっており、インシデント発生を含めサイバーセキュリティに関するリスクをゼロにすることは出来ず、セキュリティインシデントが発生した場合に業務に与える影響も大きくなっている背景があります。サイバーセキュリティを経営の問題として考える上では「経営ガイドライン」もしくは一般財団法人日本経済団体連合会が公開した「サイバーリスクハンドブック」が参考になります。
経営者はサイバーセキュリティに対して、以下の3原則を認識し、対策をすすめることが重要です。
| 原則 | 内容 |
|---|---|
| 原則1 | 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 |
| 原則2 | 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要 (参考:サプライチェーン攻撃の対策例) |
| 原則3 | 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要 |
サイバーセキュリティ経営の重要10項目とは、経営者がCISO(Chief Information Security Officer 最高情報セキュリティ責任者)等に指示すべき項目のことです。
| カテゴリ | 原則 | 内容 |
|---|---|---|
| リスク管理体制の構築 | 指示1 | サイバーセキュリティリスクの認識、組織全体での対応方針の策定 |
| 指示2 | サイバーセキュリティリスク管理体制の構築 | |
| 指示3 | サイバーセキュリティ対策のための資源(予算、人材等)確保 | |
| リスク特定と対策の実装 | 指示4 | サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 |
| 指示5 | サイバーセキュリティリスクに対応するための仕組みの構築 | |
| 指示6 | サイバーセキュリティ対策におけるPDCAサイクルの実施 | |
| インシデントに備えた体制構築 | 指示7 | インシデント発生時の緊急対応体制の整備 |
| 指示8 | インシデントによる被害に備えた復旧体制の整備 | |
| サプライチェーンセキュリティ | 指示9 | ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握 |
| 関係者とのコミュニケーション | 指示10 | 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 |
サイバーセキュリティリスクハンドブックとは2019年10月に経団連から、サイバー攻撃のリスクを企業の経営者や取締役に向けて、米国版ハンドブックなどを参照にまとめ公表された文書です。本書は以下の5つの原則を掲げ、これを遵守すべきとしています。※【引用】サイバーリスクハンドブック 取締役向けハンドブック 日本語版(一般社団法人日本経済団体連合会(経団連))
| 原則 | 内容 |
|---|---|
| 原則1 | 取締役は、サイバーセキュリティを、単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある。 |
| 原則2 | 取締役は、自社固有の状況と関連付けて、サイバーリスクの法的意味を理解すべきである |
| 原則3 | 取締役会は、サイバーセキュリティに関する十分な専門知識を利用できるようにしておくとともに、 取締役会の課題としてサイバーセキュリティリスク管理を定期的に取り上げ、十分な時間をかけて議論を行うべきである。 |
| 原則4 | 取締役は、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立すべきである。 |
| 原則5 | サイバーリスクに関する取締役会に関する取締役会における議論の内容として、回避すべきリスク、許容するリスク、 保険等によって軽減・移転すべきリスクの特定や、それぞれのリスクへの対処方法に関する具体的計画等を含めるべきである。 |
情報セキュリティマネジメントシステム(ISMS)とは、運用体制を認証機関による審査で認められれば取得できる国際規格で定められたものです。ISMS認証取得を進める上では、情報セキュリティの3要素(CIA)と7要素の理解と対策とともに、サイバー攻撃対策を進める上で、サイバーセキュリティ経営ガイドラインやサイバーセキュリティリスクハンドブックの文書を参考に、企業の経営陣、取締役陣を中心に全社的に組織で取り組む必要があります。
企業や団体がサイバーセキュリティに取り組む目的は、保有している情報資産をあらゆる脅威から守るためです。情報セキュリティマネジメントシステム(ISMS認証)を取得している企業や団体は、重要な情報資産を保有している為、情報セキュリティ(ISO27001)の国際規格に準拠していることを公に示し事業展開をしています。各企業や団体が定めている「情報セキュリティ基本方針」に則り、継続的に改善を実施しています。
サイバーセキュリティは、経営ガイドラインやリスクハンドブックに記されているように、経営陣が率先して企業や団体、関連会社などのグループ全体で取り組むことが必要とされます。近年は多様でかつ巧妙なサイバー攻撃により、企業の被害は規模が大きくなるとともに、被害件数も年々増加しています。これは、企業がクラウドサービスの利用拡大とセキュリティ人材の不足が対応の遅れに繋がり、不正アクセス行為認知件数増加とフィッシング被害件数がいずれも増加している背景があります。また、関係会社やグループ企業内でセキュリティインシデントが発生すると、クラウドサービスやインターネットを利用したITシステムは、ネットワークで繋がっているため、グループ企業全体や関連団体全体に影響を及ぼす大事故に発展してしまいます。これをサプライチェーン攻撃と呼び、大企業が保有している情報資産を狙う為に、比較的セキュリティ対策が手薄な中小企業のシステムに侵入をして、足がかりにグループの親会社の主管システムに侵入し、企業の機密情報や顧客情報を窃取するなどの方法のことです。
サイバーセキュリティ対策は新手のサイバー攻撃が出現すれば新たな対策が必要とされ、サイバーセキュリティの定義自体が変わる可能性があります。多様化するサイバー攻撃に対してサイバー脅威インテリジェンスを用いて統合的に分析をし、次に取るべき行動の意思決定の材料とすることや、リスクを可視化し多層防御による組織のITシステムや情報資産を守ることで、安心してビジネスでITを利用できるようになるため、サイバーセキュリティは必要とされます。
サイバーセキュリティを強化するためには「技術的対策」「物理的対策」「人的対策」の3方面から総合的に取り組むことが必要です。技術的対策は、セキュリティ対策に適したITサービスや製品を購入し、未然に事故を防止する対処法を実施することです。物理的対策は、内部犯行を防止するために物理的な環境を整えることです。人的対策は、従業員にセキュリティに対して意識高揚するために教育であったり、人的ミスによる情報漏えいを防止するルールを構築することです。
体系的かつ網羅的にサイバーセキュリティ対策を行う上で参考となるのが、米国国立標準技術研究所(NIST)が作成・公開している「重要インフラのサイバーセキュリティを改善するためのフレームワーク(以下「サイバーセキュリティフレームワーク」)」です。サイバーセキュリティフレームワークは、業界標準、ガイドライン、ベストプラクティスをとりまとめたものです。重要インフラ保護政策を一貫として作成されたもので、主たるターゲットはインフラ事業者ですが、他の業界に置いてもモデルとして活用することが可能です。サイバーセキュリティフレームワークは、サイバーセキュリティ対策をリスクマネジメントとして捉えており、サイバーセキュリティに関するリスク管理のコア機能を「識別(特定)」「防御(保護)」「検知」「対応」「復旧」の5つのフェーズに分けて整理しています。
リスク管理のコア機能
サイバーセキュリティにおける識別(特定)とは、組織内の情報資産の棚卸しなどを通じて、情報システム、人、(情報)資産など、リスク管理に必要な要素への理解を深めることを言います。具体例は、情報資産に関するリスクマネジメントを実施するために、組織内の情報資産を洗い出すために、情報資産管理台帳などを利用し、組織にとって重要性などの格付けを行い、リスクを特定、評価した上で対応する等の一連のリスクマネジメント、該当リスクマネジメントを実施するためのガバナンス体制の整備などの取り組みなどが挙げられます。
防御(保護)のフェーズでは、重要サービスの提供を確実にするために適切な保護対策を検討し実施されます。組織的対策(担当者のアサイン、情報取り扱いに関する規程類の整備、運用など)、人的対策(情報セキュリティ、サイバーセキュリティに対する意識高揚の為に、演習や教育や訓練を実施)、物理的対策(セキュリティレベルが高いエリアの設定(データセンターやサーバルームなど機密情報を取り扱っている建物やフロアなどを示す))、技術的対策(ID管理、アクセス制御等)といった対策の検討及び実施が具体例として挙げられます。
検知のフェーズでは、インシデントの発生を識別するために適した対策を検討し、実施することです。特にサイバー攻撃への対応を実施するに当たり、当該攻撃を検知・認識することは大前提として必要なプロセスです。検知するためには、不審な挙動を発見した際のアラート発出やセキュリティ関係の継続的モニタリング(システム監視)の実施、またSOC(Security Operation Center)の設置または外部への委託が具体例として挙げられます。SOCを用いたサービスにMSS(マネージドセキュリティサービス)が存在します。これは、セキュリティ運用代行として他社から依頼を受けて、依頼者に対してSOCサービスの提供を含め、継続的かつ統合的にシステムのセキュリティ対策の運用として提供するサービスです。
対応のフェーズでは、検知されたインシデント(の恐れ)に適切に対処し、対応策を実施することです。具体的には災害や緊急時に備えた、BCP(事業継続計画)やDR(ディザスタリカバリ)やCP(コンティンジェンシープラン)などの発動が挙げられます。
復旧のフェーズでは、インシデントによって被害を受けた機能やサービスを、回復させるための適切な対策を検討し実施します。対応の一環とも言うことが出来ますが、サイバーセキュリティフレームワークでは別のフェーズとして挙げられており、具体的には復旧計画の策定・発動や、インシデントから得た教訓を踏まえた、今後の方針決定などがあります。
脆弱性(バルネラビリティ(Vulnerability)とは、Webアプリケーション、OS、ミドルウェア、ネットワークに潜む、セキュリティ上の弱点のことです。悪意のある攻撃者は、サイバー攻撃によって脆弱性を狙って、企業のIT資産を金銭目的で搾取することを実行します。脆弱性は放置せずに定期的に診断を実施し、発見された脆弱性対策を実施することで、継続的なセキュリティ対策が実現できます。サイバー攻撃から防御するための第一歩として、脆弱性診断でセキュリティ対策を始めてみませんか?
