情報通信研究機構 園田氏に聞く情報セキュリティBCP(2)
「経営資源の洗い出しがセキュリティBCPの勘所」
以前よりも接点の近くなった組織・企業内と家庭のネットワーク
在宅勤務の増加によって企業・組織内と家庭のネットワークの接点が増えることで、どのようなリスクが増加しているのでしょうか。
企業や組織は基本的なセキュリティ対策を行っているところが多いため、比較的クリーンなネットワーク環境にあると思います。しかし、対策の甘い私用端末をつなぐなどすれば何が入ってくるか分かりません。
「家庭のネットワーク」との隣接という意味では、例えば、初期設定が甘い無線LANルーターなどを家族がうっかり使用するケースもあるでしょう。こうした機器に関しては、実は情報通信研究機構(NICT)が多くの調査を実施しています。調査を通じてウェブカメラやルーターもかなりセキュリティが甘いものがあることが分かってきています。
セキュリティインシデントが一度発生すると、会社存続に関わることもあります。万が一の際に「何が起きたのか」「どうやれば自分たちで解析できるのか」あるいは「解析できる人に状況を的確に伝えられるか」などの検知体制や事後対処策を準備することが重要です。これがセキュリティBCPの大きなポイントです。
セキュリティBCPを経営に実装するための視点
セキュリティBCPと通常のBCPとの住み分けについて教えてください。
まず前提として、通常のBCPが念頭に置く自然災害は、防災訓練などはできても本質的にコントロールできません。一方、セキュリティBCPの主眼はサイバー攻撃やセキュリティインシデントへの対応ですから、原因を捉えたある程度の制御や事前対策、訓練が可能です。サイバー攻撃などのリスクには対策方法があるわけです。万が一の際に「できることをいかに素早くやるか」「被害拡大の可能性をいかに減らすか」を考えるとともに「事象をいかに発生しにくくするか」を想定した適切な準備が大切です。そういう特徴は通常のBCPでも火災や事故などに似ていると言えそうです。
また、サイバーリスクが自然災害などのリスクと大きく異なるのは、その「潜在性」にあります。攻撃者側はできるだけ自分の攻撃を隠そうとします。このため、攻撃されたこと自体が日々分かりにくくなる。当然、それらは検知しにくくなります。重要なのは「検知しやすくする状態」を組織・企業としていかにキープするかです。万が一の際にも、この状態を保てれば原因解析がスムーズに進むでしょう。
さらに、クラウド利用や他社管理のインフラを利用する話題にも触れました(連載第1回)が、セキュリティを考える上で近年重要な論点となっているのは、「利用に際しての管理責任や責任範囲の切り分け」です。例えば、クラウドサービスの利用契約時にはサービス提供事業者と利用者で管理範囲や責任範囲を切り分けます。セキュリティBCPを考える際には、システム障害の発生時と同様に責任範囲の中で徹底的に原因究明を行う姿勢が大切です。しかし、この切り分けには、自社サービスにどんなITが必要かを理解し、サービスの構造や技術構成を把握した人材が必須です。これらの点を認識している人材を確保できていない企業・組織については、その認識をまず持つことと、人材確保・育成がポイントになります。
セキュリティBCPを経営に組み込むために必要な視点を教えてください。
セキュリティBCPをどのように組み込むかは、組織の規模や人員構成による部分もあるため一概に言えない部分も大きいです。しかし、セキュリティの初動対応は経験値が重要です。これらは事件や事故をいかに経験したかによって実践知として身につきます。
一般的には、事件や事故はなかなか経験できません。そこで重要になるのが「訓練」です。さまざまなインシデントや事件、事故を擬似的にでも体験し、現場で生きる知恵を持った人材が大切です。こうした訓練を、通常のBCPの中の1つとして組み込む形で対策を図ってもいいでしょう。また、「CSIRT(シーサート)」と呼ばれるセキュリティ事故対策チームを構築し、経験値を蓄えた人材の育成と対策拡充が可能な規模感の企業・組織であれば、そうした取り組みを進めてもいいでしょう。何よりも重要なのは、組織の大小を問わずセキュリティインシデントに際して、リスクを最小化するために「機能する」状態を保つことです。
なるほど。では、「機能する」セキュリティBCPを構築するために必要な視座を教えてください。
例えば、セキュリティ運用を考える場合、「ISMS(情報セキュリティマネジメントシステム)」という認証の枠組みがあります。そのファーストステップで何を実施するかといえば、「自分たちの価値のある情報には何があるのか」「それはどこにあるかを洗い出す」ことです。
その際に、「情報の価値とは何か」を考えます。重要機密情報には、個人情報や取引記録、いわゆる機密情報そのものや各種パスワードなどが考えられます。しかし、「自分たちが重要でない」と判断した情報であっても、攻撃側にとって価値ある情報であることもあるわけです。例えば、メールアドレスが分かっただけでも、攻撃者はそれを起点に過去に漏洩した情報と組み合わせて攻撃を仕掛けることが可能です。
そこで気になるのは、「自分たちにとって価値の低い情報が、攻撃者にはどのような利用価値があるのか」ではないでしょうか。無防備な公開情報をかき集めて悪用する手法は日々進化しています。このため、セキュリティに関する知見の少ない段階では、警戒や保護の方法を認識・理解するために外部専門家に力を借りるのがよいでしょう。それが難しい場合には、多様化する攻撃手法やインシデントについて「どんな情報がどのように使われたのか」という情報について関心を持って集めていく姿勢が大切です。
こうした観点を含めて、保有する情報の種類や量、管理方法を点検していきます。この中でそれぞれの情報が存在するサーバーやネットワーク、クラウドなどの社外サービスを「どの程度」「どう守ればいいのか」が見えてきます。これらの情報を基礎として、必要なスキルを持つ人材の配置や予算配分をひもづけて考えていくと整理しやすいでしょう。
セキュリティBCPの大まかな手順を整理すると、次のようになります。まず「情報の価値とは何か」を考え、浮かび上がったポイントについて専門家の知見を仰ぐ。その着眼点を自分たちのものにして、引き続きアンテナを日々伸ばして知識をブラッシュアップしつつ組織として機能する体制を考えていく。機能する、という視点の上ではトレーニングも重要です。NICTでは実践的なサイバー防御演習「CYDER(サイダー)」も行っていますので、ぜひ活用してください。重要項目の洗い出しの面では、中小企業庁や情報処理推進機構(IPA)などが情報セキュリティのためのガイドブックやガイドラインを提供しています。これらを参考にしてもよいでしょう。
まずは、考え過ぎずにどんどんリストアップして「こんなにあったんだ」と認識するくらいのスモールスタートでよいと思います。サイバーリスクがかつてない規模で高まっている状況の中で「やらない」ことが一番の悪手です。最初から100点を目指すのではなく、「まずはやってみる」姿勢がとても大事です。
連載:情報通信研究機構 園田氏に聞く情報セキュリティBCP
- 【1】「サイバーリスクから経営を守る『セキュリティBCP』」
- 【2】「経営資源の洗い出しがセキュリティBCPの勘所」
- 【3】「セキュリティBCPの実装には人材確保と訓練が不可欠」
国立研究開発法人情報通信研究機構(NICT)
ナショナルサイバートレーニングセンター長
園田 道夫(そのだ・みちお)氏
中央大学大学院工学博士課程修了。博士(工学)。2003年よりNPO日本ネットワークセキュリティ協会(JNSA)非常勤研究員、2004年より独立行政法人情報処理推進機構(IPA)非常勤研究員、経済産業省、IPA主催セキュリティ・キャンプ実行委員・講師等として携わる。2007年4月より、サイバー大学IT総合学部准教授、2007年より白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員、2012年よりSECCON実行委員(事務局長)、2014年4月サイバー大学IT総合学部教授(2017年退官)、2016年 国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長等を経て、2017年同機構ナショナルサイバートレーニングセンター長として、現在に至る。
※役職は記事公開時点のものです。
コンテンツ本部ソリューション1部
平野 優介(ひらの・ゆうすけ)
記者・編集者・防災士。中央省庁関連書籍の担当を経て、2011年3月より地方行政の総合誌「ガバナンス」の記者・編集者を担当。(公財)後藤・安田記念東京都市研究所の「東日本大震災に関する資料リスト」には、自ら企画した特集およびインタビュー記事が所蔵される。その後、税務分野の月刊「税理」副編集長に就任。2017年9月、日経BPコンサルティング入社。日本ユニシス「Club Unisys」など各種Webメディア編集、周年事業センターのコンサルタントを経験。現職に至る。