年々巧妙化が進むサイバー攻撃から身を守るためには、正規のガイドラインに則った対策を行うことが重要です。今回は、NISCが発表しているセキュリティガイドラインの概要と、民間企業が取るべき対策についてご紹介します。
ページコンテンツ
NISCの情報セキュリティガイドラインの概要
NISCの概要と情報セキュリティガイドラインの目的についてお伝えします。
NISCとは?
NISCとはNational center of Incident readiness and Strategy for Cybersecurityの略称で、内閣サイバーセキュリティセンターのことを指します。NISCはサイバーセキュリティ基本法に基づき設置された政府機関であり、日本のサイバーセキュリティ戦略の立案、推進という重要な役割を担っています。主な活動は、サイバー攻撃に関する情報収集や分析、それらを元にしたガイドラインの制定などです。
ガイドラインは2015年12月にver1.0が制定され、以降、2016年12月にver1.1、2017年11月にver2.0の公開があり、順次時世の変化に合わせて更新されています。
このガイドラインには、経営者が認識すべき3原則と、より具体的な重要10項目が制定されています。
・経営者が認識すべき3原則とは
(1) サイバーセキュリティリスクを認識し、リーダーシップによって対策を進める
現在企業活動においてITサービスの提供や利活用の機会は急激に増加し、サイバー攻撃によるリスクは避けられません。そのため、経営戦略としてセキュリティ投資は必要不可欠であり、かつ経営者の責務となっています。
サイバーセキュリティリスクを経営リスクの中での一つとして対策を実施し、経営者自らがリーダーシップを発揮して適切な対策を進める必要があります。
(2) 自社及びビジネスパートナーや委託先も含めたセキュリティ対策の必要
サイバーセキュリティリスクは、自社だけが対策すれば良いものではありません。ビジネスパートナーやシステム管理等の委託先のセキュリティ対策が不足している場合、自社の情報が流出するなどの問題が発生する可能性があります。そのため、取引先や委託先を含めたセキュリティ対策を徹底する必要があります。
(3) サイバーセキュリティリスクや対策に係る情報開示などの関係者との適切なコミュニケーション
万一サイバー攻撃による被害が発生した場合、普段からサイバーセキュリティ対策を行っていることを関係各所と共有してコミュニケーションを積極的に行い信頼関係が結ばれていれば、素早く事態に対応して収拾できます。
・サイバーセキュリティ経営の重要10項目
経営者は以下の10項目を徹底して着実に実施させるとともに、実施内容について定期的に報告を受ける必要があります。
1)サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2)サイバーセキュリティリスク管理体制の構築
3)サイバーセキュリティ対策のための資源(予算、人材等)確保
4)サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5)サイバーセキュリティリスクに対応するための仕組みの構築
6)サイバーセキュリティ対策における PDCA サイクルの実施
7)インシデント発生時の緊急対応体制の整備
8)インシデントによる被害に備えた復旧体制の整備
9)ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10)情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
情報セキュリティガイドラインの目的
正式名称は「政府機関等の対策基準策定のためのガイドライン(平成30年度版)です。各府省庁や独立行政法人など、政府関連機関の情報セキュリティを統一するために制定されました。このガイドラインでは、遵守するべきセキュリティ事項や、その要件を満たすための基本的な対策方法が例示されています。
政府の関連機関は情報セキュリティガイドラインに記載された対策、もしくはそれと同等の対策を行わなければなりません。このガイドラインは綿密に作成されているため、政府の関連機関だけではなく民間企業のセキュリティ対策としてもでも非常に参考になります。
NICSの情報セキュリティガイドラインに相当するセキュリティ対策
ガイドラインの内容を元に、今後企業が取るべきセキュリティ対策についてご紹介します。
導入にあたって必要な環境整備
情報セキュリティガイドラインを運用するためには、まず環境を整備する必要があります。
ガイドラインの導入にあたって、情報セキュリティ委員会を設置し、最高情報セキュリティ責任者を置きましょう。これらは組織体制の整備や対策基準の決定などを行う重要な役割を担うため、情報セキュリティに精通した信頼できる人材を選ぶことが重要です。また、緊急事態や例外措置が必要な場合に備えて、具体的な対処法フローの制定や記録台帳の保管方法などの取り決めも必要です。
このように、企業がNISCの情報セキュリティガイドラインを導入するためには、枠組みをまず用意して、運用に必要なフローを細かく確認しなくてはいけません。
セキュリティシステムの見直し
情報セキュリティガイドラインの中で特に重要なのは、セキュリティシステムの見直しです。不正プログラムを使ったサイバー攻撃の手口は多様化かつ巧妙化しており、従来型のセキュリティソフトでは更新が追いつかず対応しきれない場合があります。そのため、今使用しているセキュリティシステムが新しい脅威に対し、即時に対応できるものかどうか確認しましょう。
基準を満たしたセキュリティ「AppGuard」
NISCガイドラインが要求しているセキュリティ機能と、その基準に合致したセキュリティシステム「AppGuard」についてご紹介します。
脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/solution/appguard/
今後求められるセキュリティ機能
1.不正プログラムの処理を隔離
ファイル実行型のマルウェアから、OS・メモリ・レジストリなどを書き換えるマルウェアまで、さまざまな形式の不正プログラムが登場しています。こうした不正プログラムや不正アクセスから情報を守るために、プログラムのプロセスを隔離・監視する機能が必要です。
2.シグネチャに依存しない
シグネチャとは、不正プログラムの特徴を記載したデータベースのことです。多くのセキュリティソフトはこのシグネチャを使い、不正プログラムの検知を行っています。しかし、この方式の場合では、実行形式を持たないファイルレスマルウェアや、未知のマルウェアからの感染を防御することができません。そのため、これからのセキュリティではシグネチャに依存しない対策機能が必要です。
3.PC・サーバへの影響も考慮
マルウェアの検知はメモリの消費が激しく、検出中にPCやサーバに負荷がかかる恐れがあります。PCやサーバに負荷がかかった状態が続くと業務に支障が出る可能性があるため、動作が軽量で負担のないセキュリティシステムを選ぶことも重要です。
基準を満たしたセキュリティ「AppGuard」
AppGuardは、アメリカの政府機関でも使用されているセキュリティ製品です。高い信頼性を誇り、前述した3つのセキュリティ機能にも対応しています。
AppGuardでは、マルウェアが侵入経路とするアプリケーションをコンテナ化し、プロセスの隔離・監視を行います。その中で正しい動作のみを許可し、Windowsへ攻撃(改ざん・削除)を行う動作のみを防ぎます。そのためシグネチャを使った検知を行いません。
既知・未知を問わずに攻撃へ対応可能で、システムの動きも軽量です。これからのセキュリティ要件を満たすために、ぜひAppGuardの導入を検討してみましょう。
脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/
ガイドラインを基準にしてセキュリティ対策を行いましょう
現代の企業経営において、サイバーセキュリティ対策は欠かすことのできない重要な課題です。NISCのガイドラインを基準にしながら、万全のセキュリティ対策を実施していきましょう。