最新セキュリティマネジメント（第7回） リスクに対応するための仕組みの構築

　経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は5番目の項目「サイバーセキュリティリスクに対応するための仕組みの構築」について解説する。

リスクに対する組織としての取り組み

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

　企業が直面するさまざまな形態、手法のサイバーセキュリティリスクに対応するためには、万一のインシデント発生に備え、日ごろから十分対策を講じておく必要がある。リスクに応じた適切な対応が行われない場合、サイバー攻撃の被害は急激に拡大し、結果として業務停止や信用失墜といった深刻なダメージをもたらすことになるのは明らかだ。今回は具体的な対策の内容と、技術・運用両面での取り組みについて解説する。

セキュリティ対策は「防御・検知・分析」

　サイバーセキュリティリスクから企業を守るための対策は、大きく「防御・検知・分析」の3種類に分けられる。まず防御の部分では、時を選ばず、さまざまな方法で企業のシステムに襲いかかるサイバー攻撃に備え、被害を最小限に抑えることのできる強靱（きょうじん）な「守り」を固めておく必要がある。

　検知の部分では、日常の業務で生じる小さな事象からサイバー攻撃の発生、もしくは今後の攻撃につながる可能性をいち早く察知することがポイントだ。実際に、発見が数時間遅れたため対応が後手に回り、その結果深刻な被害を受けるという例は後を絶たない。夜間や休日を含め、常に監視の目を緩めず対応する仕組みの構築が求められる。そして分析は、検知された事象を詳しく調査して危険性の有無や、予想される被害の規模を確認し、危険と判断した際には直ちに対策実行を指示する役割を担っている。

　これまで、企業におけるセキュリティ対策は情報システム部門が中心となり、主に技術面を重視しながら進められてきた。しかし最近は、サイバーセキュリティリスクを企業全体の問題と認識し、経営者をはじめ全従業員が課題意識を持って臨むことが求められている。多額の予算を投じ、最新テクノロジーを駆使した対策を行ったとしても、適切な運用がされなければサイバー攻撃の状況を正確に把握できない。本ガイドラインでは、攻撃者に重要情報を窃取されるといった重大な被害に発展することのないよう、各部署が協力して綿密な対策を講じる必要性を指摘している。

多層防御と監視でリスク対応力をアップ

　それでは、サイバーセキュリティリスクを最小限に抑えるための技術的な対策について考えてみよう。まず挙げられるのは、重要業務を行う端末やネットワーク、システム、サービス（クラウドサービスを含む）それぞれに対して実施する「多層防御」だ。具体的には以下のような仕組みが挙げられる。

・必要に応じてスイッチやファイアウォールなどでネットワークセグメントを分離し、別のポリシーで運用する。

・脆弱性診断などの検査を実施して、システムなどの脆弱性の検出および対処を行う。

・営業秘密や機微性の高い技術情報、個人情報などの重要な情報については暗号化やバックアップなど、情報を保護する仕組みや、改ざん検知の仕組みを導入する。

　単一のセキュリティ対策ですべて防御するのではなく、複数の方法を組み合わせてシステムを守る多層防御の考え方は、サイバー攻撃の脅威が高まる最近では一般的なものとなりつつある。また、多層防御はシステムへの侵入手段として使われるマルウエア対策としても最適だ。日々膨大な数の新種が確認され、侵入方法も多様化しているマルウエアに対応するには、最新対策の導入が欠かせない。侵入、拡大、漏えいの各段階に分かれた多層防御を実施することで、より効率的な対策が可能になる。

　サイバー攻撃を検知する方法として、システム利用時に行われる通信の記録（アクセスログ、通信ログなど）を監視し、不審な動きを検知する仕組みがある。この場合、検知すべきイベントを明確にし、アクセスログや通信ログから当該イベントが発生していないかを監視する。もし異常を検知した場合には速やかに関係者にアラートを上げるなど、適切な対処を行えるような体制を整えておくことが重要だ。

　なお、監視は原則として24時間、365日体制で行う必要がある。専門的なスキルも必要になるため、もし自社にスキルを持つ人材がいない場合は、外部の監視サービス活用も検討したい。

全社レベルで意思統一を図り安全なシステムに

　上記で紹介した技術的な対策以外にも、運用面で企業が実施すべき事項はある。実際に業務でシステムを利用する従業員に対する「教育」もその一つだ。セキュリティに関する知識をはじめ、インシデント発生時にどのような対応をすべきかといったポイントについて、日ごろから教育を行い、適切な対応が行えるよう備える。

　また、防御の基本となるソフトウエア更新の徹底、マルウエア対策ソフトの導入などによる感染リスクの低減策などを実施し、加えて定期的な対応状況の確認を行うことで、一層の安全性向上が可能になる。従業員が不審なメールを受信した場合、その情報を速やかに報告できる体制を整備しておくことも重要なポイントだ。

　なお、サイバーセキュリティ対策の体制づくりは、ともすれば専門スキルを持った情報システム担当者の主導で進められ、実際に現場でシステムを使う従業員の意向が反映しにくくなってしまう恐れがある。構築に際しては、可能であれば全社員レベルでの意思統一を図り、土台となる「安全で、使いやすいシステム」をめざす姿勢を明らかにしておこう。