効果的なサイバーセキュリティ対策に向けた第一歩

2022/08/29
ITマネジメント技術部　第二技術室

自社のサイバーセキュリティの対策状況をどのように把握するか？

ご記憶にある方も多いかもしれませんが、昨年、ある大手企業がランサムウェアによる不正アクセス攻撃のため、決算業務に支障をきたし決算発表が遅れる、というニュースが報じられました。このような企業に対する不正アクセス攻撃はもはや珍しいものではなくなっており、今春にはサイバー攻撃によりサーバがダウンし、自動車の国内全工場が停止を余儀なくされるなど、被害が後を絶ちません。企業にとっては、事業停止に伴う利益の毀損や損害賠償だけでも充分痛手ですが、セキュリティ対策ができていない企業だとみなされることで、企業の信用にまで影響を与えかねない深刻な問題になっています。
こうした状況下、自社のサイバーセキュリティの対策状況を把握し、強化策を講じていくために、サイバーセキュリティについてアセスメントを実施する企業が増えています。アセスメントとは、自社の置かれた状況をなるべく正確に把握することを目的として、サイバーセキュリティ施策の現状、課題/リスクを洗い出すものです。

本稿では三井情報がこれまでご提供してきた「サイバーセキュリティアセスメントサービス」の実績を元に、アセスメントを実施するにあたって何を重視し、どこにポイントを置いてきたか、その一端をお示ししたいと思います。

実効性の高いサイバーセキュリティアセスメント

サイバーセキュリティアセスメントは、全社的なセキュリティガバナンス構築の一環として多く実施されています。
通常の実施フローは下図１のようになります。ゼロスタートということであれば、「①全社IT方針の検討」からスタートし、ここで目指すべき基準を整理します。既に方針や基準がある場合には、「②アセスメントによる可視化」から入ることになります。「②アセスメントによる可視化」では、IT環境/システム、プロセス、組織、委託先、セキュリティ対策状況などを伺いながら、取るべき手段を検討することになります。後述しますが、ここで行う実機調査が自社の状況をなるべく正確に把握するという意味で可視化の肝であり、当社が強みとしているところとなります。
アセスメントにより可視化した後は、「③課題解決・ニーズ対応」として、顕在化した課題に対する解決策を講じることになります。解決策の対応が一段落したところで、その後は「④継続的な対応」へと移行します。

図1：三井情報が考える全社的なセキュリティガバナンスの構築フロー

それぞれの段階では、何に気を付けるべきでしょうか。

① 全社IT方針の検討

企業からアセスメントの依頼がある経緯は、企業によって千差万別でありますし、理想のガバナンスの姿も様々です。グローバル拠点の有無、グループ会社がある場合はどこまで本社方針を徹底するか。アセスメントは、その企業が置かれた状況、求められる深さによって適切なやり方が存在します。アセスメント結果から効果的な対策を打つためにも、まずこの出発点をきちんと確認しておかなければなりません。

② アセスメントによる可視化

アセスメントによる可視化の方法としては、ドキュメント確認、インタビューに加えて実機調査があります（下図２参照）。当社はこのうち実機調査がとくに重要であると考えています。これまでの経験上、ドキュメントとインタビューだけからでは見えなかった実態が実機調査を通して判明したことが少なくなかったからです。例えば、「アンチウィルスソフト」を導入していても、誰もそのダッシュボードを管理しておらず検知事項が放置されていたり、ライセンスの数が足りていなかったり、パッチ管理システムの対象サーバに追加漏れがあったり、VPNの多要素認証が有効化されていなかったりと、実機調査では「ユーザ企業が知らなかったこと」が見えてきます。セキュリティ機器、ソフトウェアを導入したからといってそれが意図した通りに機能していないのであれば意味がありません。逆に言えば、既存に存在する機能を有効となるよう設定し直すだけでも、実質的にセキュリティレベルを上げたことになります。

図2：アセスメントでの対応内容

③課題解決・ニーズ対応

課題解決の方法は、それぞれの企業の意向、目指すところに近付けるような提案が前提となりますが、これまでのケースで求められることが多いのは、既に導入済みの機器の使っていなかった機能を活用する等、より追加コストが掛からずに効果を生むことのできる対策です。当社にこの提案が可能なのは、「実機調査」による裏付けがあるからこそです。またこの段階でセキュリティから派生するインフラ領域や規程類の修正についての課題が挙がることもあります。こういった課題を一つずつ解決することにより、セキュリティレベルの向上につなげていきます。

④継続的な対応

③までのセキュリティ対策は、どちらかといえば対症療法的に現実的に打てる手を一つずつ講じインシデントが起こるリスクを低減していくものです。当社はこれら対策が収束してきたところで終わりにするのではなく、継続的に対策を講じていくことも重要だと考えています。

おわりに

これまで、効果的なサイバーセキュリティ対策を実施するためにアセスメントという手法があり、このアセスメントを実施する際に気を付けるべき点について見てきました。サイバー攻撃は日々その内容が変化しており、企業側もその動向を把握してセキュリティ対策を講じていくことが重要です。
三井情報では短期間の対策から、中長期にわたる対策（組織/体制の整備など）に関してもご支援することが可能です。何かお困りのことがあればご一報をいただければと思います。

執筆者

新野
ITマネジメント技術部　第二技術室

現在、セキュリティを始めとした情報システム部門の課題を解決するITマネジメントコンサルティング業務に従事

◀前のコラム

RPAやってみた！ Vol.3：MKI品質を目指して

コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。
本文および図表中では商標マークは明記していません。
当社の公式な発表・見解の発信は、当社ウェブサイト、プレスリリースなどで行っており、当社又は当社社員が本コラムで発信する情報は必ずしも当社の公式発表及び見解を表すものではありません。
また、本コラムのすべての内容は作成日時点でのものであり、予告なく変更される場合があります。