中堅・中小企業の現実的なセキュリティ対策を考える:中堅・中小企業向け、標的型攻撃対策の現実解(1)(2/2 ページ)
リソースの限られた中堅・中小企業にとって、大企業と同等の頑強なセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特にAPT(Advanced Persistent Threat)対策の観点から考える。
中堅・中小企業はまずなにを実施すべきなのか?
というわけで、ガイドラインの構成と経営者が認識し指示すべき項目を概説した。では、指示を受ける側は具体的に何から取り組むべきなのだろうか?
これは重要10項目の項番通り進める形でよい。なぜなら、重要10項目は土台作りにあたる(1)(2)、分析・評価に基づく運営の枠組みを示した(3)〜(5)、分析・評価に基づく被害を未然に防止する対策である(6)〜(8)、被害が顕在化した際の項目(9)(10)と、実際に取り組む際の順番通りに記載されているためである。
例えば、土台と位置付けられる項目「(1)リスクの認識、対応」であれば、セキュリティポリシーを策定する。ポリシーというと、ともすれば中堅・中小企業にとってはハードルが高いように感じられるかもしれないが、「要はサイバーセキュリティになぜ取り組むのか」という理由を言葉にして組織内に示せばよい。
つまり、サイバー攻撃を受けた場合、どのような最悪の事態が想定されるか。Webサイトが改ざんされたら? 個人情報が漏えいしたら? メールやインターネットが使えなくなったら?――サイバー対策を実施していないと、自社ビジネスがどのような状態になるのかを思い浮かべ、なぜ対策に取り組むのか、どのような体制で取り組むのかを言葉にすれば、自ずとそれがポリシーになるはずである。
「(2)管理体制の構築」では、サイバーセキュリティに対する組織の責任者と管理体制を明確にする。責任者はCISOなどと呼ばれることが多いが、重要なのはCISOという呼称ではなく、責任の所在を明確にすることである。管理体制については、組織横断的な委員会のようなものを設置し、年に数回、直接顔を合わせ情報共有する場を設けることが望ましい。これはいわば企業経営の土台であり、多少の違いはあれど、既に品質管理や製品開発などで同様の仕組みが導入されている組織も多いはずである。
少々難易度が上がるのが、次の項目(3)〜(5)の分析・評価に基づく枠組みの部分だ。「(3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定」では、守るべき資産やサイバー攻撃が発生した場合のビジネスへの影響を特定し、具体的な対策につなげていく。
サイバーセキュリティリスクの把握に当たっては、一般的にリスク分析やビジネスインパクト分析などを実施することになるが、ここで陥るワナがこの分析を“詳細に実施してしまう”ことだ。その結果、分析だけで疲弊してしまったり、分析で一定の結果が出たところで推進力が弱まったりして、具体的な対策につながらないケースが少なくない。
特に潤沢なリソースがあるわけではない中堅・中小企業はとっては、詳細な分析はそもそも困難である。だからといって、この分析がその後の現場でのルール作りやセキュリティ機器の導入などに掛かるリソースやコストに跳ね返ってくることになるから、おざなりにもできない。ここが多くの中堅・中小企業の大きな悩みどころである。ここは非常に重要な部分であるから、分析や評価の実施方法については、次回詳しく解説することにしたい。
ベースラインAPT対策コンソーシアム(BAPT)
標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。
参加企業は、ニュートン・コンサルティング、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ベル・データ、フェス、ゾーホージャパン。
著者プロフィール
内海 良(うちみ りょう)
ニュートン・コンサルティング株式会社 プリンシパルコンサルタント(https://www.newton-consulting.co.jp/)
ベースラインAPT対策コンソーシアム(BAPT)のセキュリティコンサルティング支援メンバー。
リスク診断、CSIRT構築支援、サイバー演習支援、標的型メール訓練などを提供。オーストラリア留学後、日本でのプログラマー、SE経験を経て2004年に渡英。グループ会社である英国法人NEWTON ITにてSE部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネジャーを歴任。欧州を舞台にITガバナンス、情報セキュリティ、BCPの策定をはじめ、数多くのシステムインテグレーション、ペネトレーションテストなどのプロジェクトをこなす。
2010年より現職。以降、数多くの民間企業の支援をする傍ら、事業部長として官公庁とのプロジェクト実績を積み重ね、近年は金融機関を中心に支援。顧客の本質を理解し、ゴールまで遵進することを基本姿勢としている。
JIPDEC(日本情報処理開発協会) BCMS技術専門部会委員。
CISSP、AMBCI、LPT(Licensed Penetration Tester)、ECSA(EC-Council Security Analyst)、CEH(Certified Ethical Hacker)、MCSE、ITIL Foundation V3、CCNA。
Copyright © ITmedia, Inc. All Rights Reserved.