向坊敦の【セキュリティコラム(標的型攻撃対策編)】第2回 セキュリティ対策はどこまで実施すれば良いのか?

はじめに

前回のコラムに記載しましたが、現在、サイバー攻撃する側が分業されており、高度な攻撃を比較的簡単に実施できるようになっています。そのため、攻撃にあう企業が増加し、経営に深刻な影響を与えるインシデントが多く発生するようになってきました。しかしながら、「セキュリティ対策が必要なのはわかっているけど、100%防げるわけではなく対策してもキリがない。」と感じていらっしゃる方も多いと思います。そのような状況の中で企業はどこまでセキュリティ対策を行えば良いのでしょうか?今回はこの「どこまで実施すべきか」という点について書いてみたいと思います。

 

『私たちが取引している企業が被害にあった場合で考えてみる』

近年の被害状況の報告を見ると、被害にあっている企業はセキュリティ対策を全くしていなかったわけではありません。セキュリティ対策をしているにも関わらず被害にあってしまい、セキュリティ対策製品のログなどで原因を調査して経緯や今後の対策についてホームページ等で報告しています。例えば、私たちが取引している企業がセキュリティ被害を

受けた場合に、提供していた情報が含まれていたのかどうか、どのような対策を実施して、同様の事故が起こらないようにしているのかの説明が無かった場合は、その企業と今後も取引を続けたいと思わないですよね。万が一、セキュリティ被害にあってしまった場合はきちんと説明責任を果たす必要が企業として必要であることがわかります。

『公的ガイドラインからわかる3つの対策ポイント』

実際に公的ガイドライン等を参考にして実施すべき内容を考えると、主な対策は次の3点があげられます。

(1) 事故を起こさない対策

(2) 事故が起きた場合の対策(被害を拡大させない、説明責任を果たす)

(3) 事業継続の対策

まずは当然の話となりますが「(1) 事故を起こさない対策」が必要となります。エンドポイントでいうと、まずはOSやソフトウェアを常に最新の状態にし、既知の脆弱性を無くすようにすることが必要最低限です。そのためには会社の中でどのようなソフトウェアが使われていて、それらのバージョンが最新になっているかどうか管理が必要です。また、従来のパターンファイル検出型では、ウイルスの検出率が30%程度とのレポートも出ております。セキュリティメーカー各社から次世代エンドポイントセキュリティ対策製品が出ていますので検討するのも1つだと思います。

次に実施すべき対策は「(2) 事故が起きた場合の対策」です。この対策が必要な背景には、近年サイバー攻撃の手口が巧妙になっており、「事故を起こさない対策」をしているにも関わらず、実際に被害が発生していることがあります。ここでの対策のポイントは「被害を拡大させない」「説明責任を果たす」の2点あります。「被害を拡大させない」についていうと、実際にマルウェアに感染しても、多層防御をしておくことで早期に異変に気づき、大きな被害になる前に防止する等が挙げられます。例えばメールの添付ファイルを開いてマルウェアに感染してしまったとしましょう。マルウェア感染後に端末がC&Cサーバと通信していることを次世代ファイアウォールで検知し、感染端末をネットワークから早急に切り離すことができれば、情報漏えいは防止できます。もう1つのポイントである「説明責任を果たす」については先ほども少しふれましたが、実際に被害が発生すると顧客や取引先等の関係者に説明する必要がでてきます。あたりまえのことですが、「説明する」とは、説明を受けた側に納得していただく必要があります。納得していただくためには、これまでどのような対策をとっていたのか、いつ感染したのか、何の情報が何件情報漏えいしたのか、原因は何か、今後どのような対策をとるのか、といった説明ができないといけません。これらの情報開示を速やかに実施するために、誰がどのような情報を管理し、どういった手順で調査するのか検討しておく必要があります。

最後に実施すべき対策が「(3) 事業継続の対策」です。インシデントにより業務停止に至った場合、適切な時間内に復旧できないと、企業経営に致命的な影響を与える恐れがあります。そのため、復旧に向けた手順書の策定や体制を整備する必要があるのです。

最後に

今回はセキュリティ対策をどこまで実施すれば良いかについて記載しました。詳しくは経済産業省と独立行政法人情報処理推進機構が協力して策定した「サイバーセキュリティ経営ガイドライン」に説明がありますので、ご確認いただければと思います。セキュリティ対策はシステムの導入だけでなく、体制の整備やPDCAサイクルの実施が重要になってきます。弊社ではチェックシートを用意しており、ガイドラインと現状のギャップの把握や環境整備に向けた検討の支援を実施しておりますので、是非ご相談ください。

※ディーアイエスソリューションが提供するセキュリティソリューションにちては以下をご覧ください。

https://www.si-jirei.jp/secure/

 

 

Related post

更新情報

最新コラム

  1. はじめに 前回のコラムに記載しましたが、現在、サイバー攻撃する側が分業されており、高度な攻撃を…
  2. 前回コラムでは、先月11/1にリリースされたMicrosoft365に関して、急きょご紹介をさせて頂…
  3. みなさん、こんにちは! もう今年も終わりに近づいてきましたね。 プライム・ストラテジーでは、…

最新事例

  1. 下記の通り、 Cisco Meraki導入事例「株式会社 陣屋 」を公開しました。ご興味がある方は下…
  2. アンチウイルス「Dr.Web」の導入事例「日本通運の運行管理システムで活用される約1万台のスマートフ…
  3. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…

ログインステータス

You are not logged in.
Return Top