セキュリティ

 

内閣サイバーセキュリティセンター(NISC)のセキュリティガイドラインとは?基準を満たす対策方法

年々巧妙化が進むサイバー攻撃から身を守るためには、正規のガイドラインに則った対策を行うことが重要です。今回は、NISCが発表しているセキュリティガイドラインの概要と、民間企業が取るべき対策についてご紹介します。

NISCの情報セキュリティガイドラインの概要

NISCの概要と情報セキュリティガイドラインの目的についてお伝えします。

NISCとは?

NISCとはNational center of Incident readiness and Strategy for Cybersecurityの略称で、内閣サイバーセキュリティセンターのことを指します。NISCはサイバーセキュリティ基本法に基づき設置された政府機関であり、日本のサイバーセキュリティ戦略の立案、推進という重要な役割を担っています。主な活動は、サイバー攻撃に関する情報収集や分析、それらを元にしたガイドラインの制定などです。

ガイドラインは2015年12月にver1.0が制定され、以降、2016年12月にver1.1、2017年11月にver2.0の公開があり、順次時世の変化に合わせて更新されています。

このガイドラインには、経営者が認識すべき3原則と、より具体的な重要10項目が制定されています。

・経営者が認識すべき3原則とは
(1) サイバーセキュリティリスクを認識し、リーダーシップによって対策を進める
現在企業活動においてITサービスの提供や利活用の機会は急激に増加し、サイバー攻撃によるリスクは避けられません。そのため、経営戦略としてセキュリティ投資は必要不可欠であり、かつ経営者の責務となっています。
サイバーセキュリティリスクを経営リスクの中での一つとして対策を実施し、経営者自らがリーダーシップを発揮して適切な対策を進める必要があります。

(2) 自社及びビジネスパートナーや委託先も含めたセキュリティ対策の必要
サイバーセキュリティリスクは、自社だけが対策すれば良いものではありません。ビジネスパートナーやシステム管理等の委託先のセキュリティ対策が不足している場合、自社の情報が流出するなどの問題が発生する可能性があります。そのため、取引先や委託先を含めたセキュリティ対策を徹底する必要があります。

(3) サイバーセキュリティリスクや対策に係る情報開示などの関係者との適切なコミュニケーション
万一サイバー攻撃による被害が発生した場合、普段からサイバーセキュリティ対策を行っていることを関係各所と共有してコミュニケーションを積極的に行い信頼関係が結ばれていれば、素早く事態に対応して収拾できます。

・サイバーセキュリティ経営の重要10項目
経営者は以下の10項目を徹底して着実に実施させるとともに、実施内容について定期的に報告を受ける必要があります。
1)サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2)サイバーセキュリティリスク管理体制の構築
3)サイバーセキュリティ対策のための資源(予算、人材等)確保
4)サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5)サイバーセキュリティリスクに対応するための仕組みの構築
6)サイバーセキュリティ対策における PDCA サイクルの実施
7)インシデント発生時の緊急対応体制の整備
8)インシデントによる被害に備えた復旧体制の整備
9)ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10)情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

情報セキュリティガイドラインの目的

正式名称は「政府機関等の対策基準策定のためのガイドライン(平成30年度版)です。各府省庁や独立行政法人など、政府関連機関の情報セキュリティを統一するために制定されました。このガイドラインでは、遵守するべきセキュリティ事項や、その要件を満たすための基本的な対策方法が例示されています。

政府の関連機関は情報セキュリティガイドラインに記載された対策、もしくはそれと同等の対策を行わなければなりません。このガイドラインは綿密に作成されているため、政府の関連機関だけではなく民間企業のセキュリティ対策としてもでも非常に参考になります。

NICSの情報セキュリティガイドラインに相当するセキュリティ対策

ガイドラインの内容を元に、今後企業が取るべきセキュリティ対策についてご紹介します。

導入にあたって必要な環境整備

情報セキュリティガイドラインを運用するためには、まず環境を整備する必要があります。

ガイドラインの導入にあたって、情報セキュリティ委員会を設置し、最高情報セキュリティ責任者を置きましょう。これらは組織体制の整備や対策基準の決定などを行う重要な役割を担うため、情報セキュリティに精通した信頼できる人材を選ぶことが重要です。また、緊急事態や例外措置が必要な場合に備えて、具体的な対処法フローの制定や記録台帳の保管方法などの取り決めも必要です。

このように、企業がNISCの情報セキュリティガイドラインを導入するためには、枠組みをまず用意して、運用に必要なフローを細かく確認しなくてはいけません。

セキュリティシステムの見直し

情報セキュリティガイドラインの中で特に重要なのは、セキュリティシステムの見直しです。不正プログラムを使ったサイバー攻撃の手口は多様化かつ巧妙化しており、従来型のセキュリティソフトでは更新が追いつかず対応しきれない場合があります。そのため、今使用しているセキュリティシステムが新しい脅威に対し、即時に対応できるものかどうか確認しましょう。

基準を満たしたセキュリティ「AppGuard」

NISCガイドラインが要求しているセキュリティ機能と、その基準に合致したセキュリティシステム「AppGuard」についてご紹介します。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/solution/appguard/

今後求められるセキュリティ機能

1.不正プログラムの処理を隔離

ファイル実行型のマルウェアから、OS・メモリ・レジストリなどを書き換えるマルウェアまで、さまざまな形式の不正プログラムが登場しています。こうした不正プログラムや不正アクセスから情報を守るために、プログラムのプロセスを隔離・監視する機能が必要です。

2.シグネチャに依存しない

シグネチャとは、不正プログラムの特徴を記載したデータベースのことです。多くのセキュリティソフトはこのシグネチャを使い、不正プログラムの検知を行っています。しかし、この方式の場合では、実行形式を持たないファイルレスマルウェアや、未知のマルウェアからの感染を防御することができません。そのため、これからのセキュリティではシグネチャに依存しない対策機能が必要です。

3.PC・サーバへの影響も考慮

マルウェアの検知はメモリの消費が激しく、検出中にPCやサーバに負荷がかかる恐れがあります。PCやサーバに負荷がかかった状態が続くと業務に支障が出る可能性があるため、動作が軽量で負担のないセキュリティシステムを選ぶことも重要です。

基準を満たしたセキュリティ「AppGuard」

AppGuardは、アメリカの政府機関でも使用されているセキュリティ製品です。高い信頼性を誇り、前述した3つのセキュリティ機能にも対応しています。

AppGuardでは、マルウェアが侵入経路とするアプリケーションをコンテナ化し、プロセスの隔離・監視を行います。その中で正しい動作のみを許可し、Windowsへ攻撃(改ざん・削除)を行う動作のみを防ぎます。そのためシグネチャを使った検知を行いません。

既知・未知を問わずに攻撃へ対応可能で、システムの動きも軽量です。これからのセキュリティ要件を満たすために、ぜひAppGuardの導入を検討してみましょう。

脅威を探すのではなく、徹底的にまもりぬく!次世代型セキュリティソリューション
AppGuard製品ページ:https://www.daikodenshi.jp/daiko-plus/security-appguard/

ガイドラインを基準にしてセキュリティ対策を行いましょう

現代の企業経営において、サイバーセキュリティ対策は欠かすことのできない重要な課題です。NISCのガイドラインを基準にしながら、万全のセキュリティ対策を実施していきましょう。

侵入されても、発症させない。
ゼロトラスト型エンドポイントセキュリティ「AppGuard」

詳しくは下記からご覧いただけます
この記事を読んだ方に
おすすめのお役立ち資料はこちら↓
サイバーセキュリティ基本まるごと解説入門

攻撃手段 / 対策製品の違い / トレンド情報 など 一冊で基本がまとめてわかる! 新米セキュリティ担当者さま必見の教科書

サイバーセキュリティ基本まるごと解説入門

ダウンロードページへ
中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ 事例

    DDoS攻撃とは?複雑化するサイバー攻撃と実態

    進化を続けるサイバー攻撃。その中でも脅威を増し続けているのが「DD…

  2. PPAP問題とは?危険性と有効な対策を解説!

    セキュリティ

    PPAP問題とは?危険性と有効な対策を解説!

    暗号化したzipファイルとパスワードを別メールで送付する方法の「P…

  3. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

  4. セキュリティ

    新入社員を迎える準備はOK?新入社員が起こしがちなセキュリティトラブル5選

    各社が新入社員を迎える春、様々なセキュリティのトラブルが発生しがち…

  5. セキュリティ

    海外では進んでいる「CSIRT」設置・運用をどう進めるべきか?

    不正アクセスやマルウェア感染といった脅威が日々存在感を高める昨今、…

  6. 最新の被害事例をご紹介!2022年情報セキュリティ10大脅威まとめ

    セキュリティ 事例

    最新の被害事例をご紹介!2024年情報セキュリティ10大脅威まとめ

    昨今、情報セキュリティに関する脅威が巧妙化しており、企業の情報シス…

お役立ち資料一覧 生産管理部門様向けホワイトペーパー 製造原価管理入門書 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 製造業のDX推進ガイドブック 生産管理システムによる製造業の課題解決事例集 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 納期遵守を実現する仕組みとは 購買・調達業務効率化」 完全ガイド~購買管理システムのベストプラクティス~ 購買管理部門様向けホワイトペーパー 購買管理のマネジメント力強化ガイドブック 購買・調達部門に贈る、コスト削減に効く3つのTIPS 購買管理システム導入による課題改善事例集 コスト削減のカギは 「集中購買」にあり! 購買管理システム導入による課題改善事例集 10分でわかるAppGuard:仕組み、セキュリティの「新概念」 セキュリティ担当者様向けホワイトペーパー サイバーセキュリティ基本まるごと解説入門 組織の情報セキュリティを強くするための対策のポイント エンドポイントセキュリティ更新時に知りたい基本の「き」 巧妙化し続けるサイバー攻撃&被害事例、セキュリティトラブルを防ぐ、最もシンプルな3つの対策 ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策 「新型脅威への対処」「運用コスト削減」を両立する。セキュリティ防御構造の理想型とは? 経理業務を次のステージへ!DX導入で生まれ変わる財務会計 ペーパーレス化で給与明細書作成の負担を軽減 導入事例付き】給与明細 / 年末調整の工数・コストを削減。i-Compassとは