古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

「サイバーセキュリティ経営ガイドライン」で確かめる対策の抜けや漏れ

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2016/12/04
「サイバーセキュリティ経営ガイドライン」で確かめる対策の抜けや漏れ: 画像:ITmedia © ITmedia エンタープライズ 提供 画像:ITmedia

 本連載でこれまで取り上げてきた多層防御や CSIRT、インシデント管理システムといった標的型攻撃対策は、どこまで行えば良いのだろうか。対策を講じるほど、他に気になる部分は増えていく。そして、新しいセキュリティソリューションが次々に登場するため、これらを片端から導入していると、対策コストは雪だるま式に膨らんでしまう。

 このようなときに、経済産業省の公表している「サイバーセキュリティ経営ガイドライン」が参考になる。これは多くの組織が利用するガイドラインであり、自組織の対策が広く一般に行われているものからずれていないかどうかを確認する意味でも、目を通しておいてほしい。

 ガイドラインは経営リスクに対する意識と、「重要10項目」という指示によって構成されている。いずれも重要なことではあるが、情報システム部門やCSRITといった部門の目には、やや漠然としたものに映るかもしれない。現場が活用しやすい具体的な情報としては、「サイバーセキュリティ経営ガイドライン Ver1.0 付録B」および「付録B-2技術対策の例」がある。今回は、この資料から標的型攻撃対策に関連する項目をいくつかピックアップして、何をどの程度対策すれば良いのかという目安について考えてみよう。

●まずはリスクを把握する

 今までの記事の中でも述べてきた通り、自組織のシステムとIT資産を把握することが対策の第一歩だ。これら全体についての図を作成しよう。そして、ノード単位で「何のデータが保管されているのか」を明示する。

 次に、Input/Output(I/O)についての情報を整理する。組織と外部のI/O、ノード単位のI/Oという具合に、「何の情報がどのように入力され、出力されるのは何の情報で、どういうプロトコルなのか」が分かると、リスクが見えてくる。これらのリスクに適切に必要十分な対策をすれば良い。本連載の第2回で述べた多層防御の見える化テンプレートなどを活用し、適切な範囲で対策を行うことで、対策技術の例にある「多層防御措置の実施」が実現できる。

●PDCAサイクルの実施と改善

 付録B‐2技術対策の例では、「※ISMS、CSMSの導入にあたっては各種ガイドライン等参考文献や制度を参照のこと」として、省略されてしまっている。しかし、現場では非常に重要なことで、常に対策の見直しや改善を図る必要がある。

 ネットワークやデータ利用環境の更新、新たに発見される脆弱性、そして攻撃手法の変化に対応し、速やかに対策を進化させるべきだ。そのためには、情報収集と計画(Plan)と、実施(Do)、確認(Check)、改善(Action)というサイクルが欠かせない。

 PDCAサイクルを常に実施することは組織にとって重い負担となりやすい。例えば、数年に1回のペースでの実施など、緩やかになってしまいがちになる。しかし、脆弱性の報告は頻繁にあり、攻撃手段は非常に速いペースで変化していく。古い対策のまま放置されている期間が長ければ、そこを攻撃者に突かれてしまうリスクは当然高まる。

 そこで、CSIRTのような専門のチームを設け、適切なペースでPCDAサイクルを実施することが必要だ。脆弱性に関する情報を日々収集し、例えば週次・月次といったペースで、PDCAの各項目について計画のレビューや対策実施の進捗の確認を図ることが望ましい。

●自組織で対応できる対策項目と、できない項目の整理

 第4回、第5回でも少し触れたSOC(Security Operation Center)のように、外部から攻撃の検知を自組織だけで実現することは難しい。そのため、現場でも多くのケースで外部のSOCサービスが利用されている。

 ここで大切なのは、まず自組織でできる項目をしっかり把握することだ。セキュリティ対策全般について、SOCサービスを行っている事業者に丸投げをしてしまうと抜けや漏れが発生し、十分な対策が行えない可能性がある。組織のリスクは、外部から分からないことも多い。まずはリスクを把握し、対策を立案し、その適切な運用手段として外部サービスを利用することを考えよう。

●緊急時のための「体制整備」と「被害特定のための準備」

 第4回で述べたCSIRTを生かし、組織の対策を進めるフェーズについてもおさらいする。緊急時の体制とは、単純に組織図を作っておけば良いというものではない。情報セキュリティインシデントの種類によって、対策の方法や関係者は変わる可能性が高い。

 そこで、フローを整理し、インシデント管理システムに予め登録を行っておくなどの準備が必要になる。そしてフローを設定するだけでなく、実際にインシデントが発生したことを想定した訓練を実施しておこう。

 このような訓練について、例えば標的型攻撃メール対策は市場に多く存在している。無害なマルウェアをメールに添付し、受信した際に不用意に開いてしまわないよう、現場を指導するものである。これは現場向けであり、重要ではあるが、組織の対策としては不完全だ。CSIRTは各インシデントへの対策フローについて、最低一度は訓練を実施しておく必要がある。PDCAサイクルにより、実施をした上で見つかった課題をもとにフローを改善しよう。緊急時でも、慌てず、漏れのない対策を行える状態にしておきたい。

 今回は本連載のまとめとして公的なガイドラインへの準拠をテーマに選んだ。「Cyber Kill Chain」に始まり、多層防御の見える化テンプレートやインシデント管理システムといった現場の工夫を紹介してきた。セキュリティ対策については、明確なゴールというものがなく、サイバー攻撃が存在する限り、対策も進化を続けなくてはならない。ぜひ本連載で述べたことを“道具”として活用し、攻撃を阻止できるように継続的な対策を行っていただけると幸いである。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon