最新セキュリティマネジメント（第12回） サイバー攻撃情報の入手とその有効活用および提供

　経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は最後の10番目の項目、「情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」について解説する。

情報の収集・提供・共有を推進

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

　サイバー攻撃の手法は多種多様で、その被害を防ぐための方法もさまざまだ。過去の事例を参考に企業が万全の対策を講じたとしても、攻撃者は新たな手法を考え、虎視眈々（たんたん）とわずかな隙を突いてくる。企業にとってセキュリティ対策は「ゴールのない取り組み」であり、これで絶対に安心というレベルに達することはないと考えておくべきだろう。

　そこで重要になるのが「最新情報の入手」だ。サイバー攻撃に関する情報はメディアで報じられるニュースをはじめ顧客や取引先など、多くのチャンネルから収集できる。これを基に現在の対策を見直し、日々アップデートしていくことが重要なポイントとなる。また、自社が攻撃を経験した場合、その情報を外部に発信し共有することは業界、ひいては社会全体のセキュリティレベル向上につながる。今回は情報の入手と共有、そして提供の進め方について解説する。

正確な情報を素早く入手

　わが国において、サイバーセキュリティに関する情報元として広く知られているのが、IPAや一般社団法人、JPCERTコーディネーションセンター（JPCERT/CC）が公開する「注意喚起情報」だ。両組織のWebサイトのトップページには新たに発見されたマルウエアをはじめ、ソフトウエアの脆弱性、アップデートなどの情報が掲載され、随時更新されている。必要な情報が素早く確認できるため、ここで収集した情報を自社の対策に生かすことは、最も効率的な方法といえる。

　また、情報は入手するだけでなく、積極的に提供すればより役立つものとなる。サイバーセキュリティに関する報告を受け、調査・分析を行うCSIRT（Computer Security Incident Response Team：シーサート）間における情報共有や、日本コンピュータセキュリティインシデント対応チーム協議会（日本シーサート協議会）などのコミュニティー活動への参加による情報収集を通じて、自社のサイバーセキュリティ対策の強化を図るのは有効な方法だ。

　情報はさまざまな方法で収集が可能だ。例えばセキュリティ関連企業のWebサイトには、自社で把握した新たなリスクに関する情報が掲載されているし、業界単位で事業に関係するセキュリティ情報をまとめているケースもある。

　ただし、情報は「多ければ多いほどいい」というものではない。臆測や不正確な情報は役に立たないどころか、むしろ対策の足を引っ張る障害になりかねないリスクとなる。情報の出どころを確認し、冷静に対応する姿勢が欠かせない。

情報共有の重要性を認識しよう

　自社がサイバー攻撃の被害を受けた場合、もしくはマルウエア感染を確認した際には、被害を最小限に抑えるための対策を講じると同時に、IPAに対し告示（コンピュータウイルス対策基準、コンピュータ不正アクセス対策基準）に基づいてマルウエア情報や不正アクセス情報の届け出を行う。最近では数時間のうちに世界規模で被害が拡大するケースが増えているため、届け出は速やかに行うことが重要だ。IPAは年中無休の体制で対応しており、たとえ夜間、休日であっても、可能な限り素早い届け出が求められる。

　また、業務遂行に支障を来すインシデントが発生した場合は、JPCERT/CCにインシデントに関する情報提供を行うと同時に、必要に応じて調整の依頼も重要となる。同センターではメール、Webフォームから寄せられた情報に個別に対応し、最適な対応を進めている。このところ深刻さを増しているフィッシング被害では、最短で1日、平均10.8日でフィッシングサイトの停止を実施している。

　こうした組織的な活動は、サイバーセキュリティに関する情報を共有し、すべての関係者が役立てることを目的としている。解析された攻撃手法などの情報は、まだ被害を受けていない企業が同様の状況に陥る可能性を小さくするとともに、先手を打って防御策を講じれば、攻撃自体を無力化する強力な武器となる。

　もし情報が共有されない場合は、企業はすべての攻撃を「新たな脅威」として受け止め、対応しなくてはならないが、これはほぼ不可能だ。また、個別の対応にかかるコストも無視できない。情報共有はサイバーセキュリティのリスクを低減するとともに、自社および社会全体のセキュリティコスト削減にも貢献する取り組みだ。

経営課題としての「サイバーセキュリティ」

　本連載では、経営者がサイバーセキュリティ対策担当者に指示すべき10項目を挙げ、その意図と進め方を解説してきた。改めて各項目を振り返り、今後めざすべき方向性を考えてみよう。

●テーマ　“経営者がリーダーシップをとったセキュリティ対策の推進”
活動　“サイバーセキュリティリスクの管理体制構築”
・指示1　サイバーセキュリティリスクの認識、組織全体での対応方針の策定
・指示2　サイバーセキュリティリスク管理体制の構築
・指示3　サイバーセキュリティ対策のための資源（予算、人材等）確保
活動　“サイバーセキュリティリスクの特定と対策の実装”
・指示4　サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
・指示5　サイバーセキュリティリスクに対応するための仕組みの構築
・指示6　サイバーセキュリティ対策におけるPDCAサイクルの実施
活動　“インシデント発生に備えた体制構築”
・指示7　インシデント発生時の緊急対応体制の整備
・指示8　インシデントによる被害に備えた復旧体制の整備

　経営者がサイバーセキュリティを重要な経営課題として認識することは、すべての対策を進める上での大前提となる。少しでも「担当者任せ」「ベンダー任せ」と感じられる場合は直ちに改善し、経営者のリーダーシップを発揮して全社レベルで取り組む環境を整備すべきだ。

●テーマ　“サプライチェーンセキュリティ対策の推進”
・指示9　ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

　サイバーセキュリティ対策は個々の企業が行うだけでなく、サプライチェーンを構成するすべての関係者が協力することで成果が上がる。フラットな集合体として包括的な対策が実施できるよう、経営者は工夫して進めるべきだ。

●テーマ　“ステークホルダーを含めた関係者とのコミュニケーションの推進”
・指示10　情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

　サイバーセキュリティは社会的な課題。積極的に情報を発信・共有し、協力して対策を推進することが重要。

　これらの項目を実行すれば企業のサイバーセキュリティ対策は強固なものとなり、結果として生産性向上、コストダウンといった効果も期待できるだろう。ただし、実際に現在の企業を見てみると、「対策を行うにも、スキルを持った人材がいない」、「関係者の理解が得られない」などの悩みを抱える経営者が多いというのが現状だ。また、中には「売り上げ第一でセキュリティは二の次」といったケースも見られる。

　本ガイドラインでは、冒頭で「サイバーセキュリティ対策は経営問題」と表現し、経営者がセキュリティ対策を将来の事業活動・成長に必須のものとして捉える必要性を明示している。具体的な対策の実施に当たり、経営者をはじめとする全関係者が本ガイドラインを確認し、それぞれの立場で推進できる取り組みを検討することは、企業の成長にもつながる有効な手段といえるだろう。