★☆★JNSAメールマガジン 第20号 2013.10.11.☆★☆

こんにちは
JNSAメールマガジン 第20号 をお届けします。

OECDが行った国際成人力調査の結果、日本人は「読解力」と「数的思考力」の平均点で1位となったそうです。日本の子どもの学習到達度調査では一時落ち込みが言われていましたが、大人を対象とした今回の結果はまずまずのようですね。
一方、成績が思わしくなかったのは「IT活用能力」だそうです。ちょっと意外な感じがしますね。やはり、大人全体としてみると、パソコンの活用は苦手な人がまだ多いのでしょうか?

さて、今回の連載リレーコラムは、JNSA理事でEMCジャパン株式会社RSA事業本部 本部長 宮園充様からの寄稿です。


【連載リレーコラム】
「セキュリティ対策のアプローチ」
(JNSA理事 EMCジャパン株式会社RSA事業本部 本部長 宮園 充)

最近の高度なセキュリティ脅威、例えばサイバー攻撃やサイバー犯罪などの状況を 考慮すると、一昔前までの比較的平和だった時代に比べ、飛躍的にビジネスリスク は高まっており、これらを踏まえ、セキュリティ対策へのアプローチを根本的に再 考するタイミングに来ていると感じる。

セキュリティ対策を考える上で、ひとつの参考になるのがセキュリティ管理の成熟 度モデルであり、今回はこれを取り上げてみたいと思う。

企業における情報セキュリティ対策へのこれまでのアプローチは、自社に対して、 事件となるインシデントが発生した場合や、同一業界内の他社が被害にあった際に これをきっかけとして、予防的対策を中心に取られてきている。
 いわゆる成熟度の第一段階である特定の脅威に対症療法的に対策を実施し、その発 生を防ぐというアプローチである。
 このアプローチでは、特定の脅威に焦点を当てて、セキュリティ対策を進めるため、 多くの連携性のないセキュリティ・コントロールが導入されている。結果として多 額の投資にも拘わらず、常に不安が残っているというお話を企業の方から伺うこと も多い。

現在、日本の多くの企業の情報セキュリティはこれより一歩進んだ成熟度の第二段 階で、セキュリティ・ポリシーを決め、これらが順守されるように、また順守され ているかどうかを検証していくことでセキュリティ・コントロールを運用していく コンプライアンスの段階に移行しているのではないだろうか。 このアプローチの良いところは、対策がリアクティブではなく、セキュリティ・ポ リシーを設定するところから始めるという主体的な取り組みになっているところで ある。
 ただし、冒頭で触れた最近のセキュリティ脅威は、これまでの常識が通じない未知の ものが多いため、既知の脅威のみをカバーしているコンプライアンスのアプローチで は不十分であり、ここで第三段階として初めてリスクベースのアプローチがとられる ことになる。

第三段階のアプローチに触れる前に、改めて最近のセキュリティ脅威を振り返ってみ よう。
 金銭の窃取を目的としたサイバー犯罪は、数年前フィッシング詐欺が非常に少なかっ た頃に比べると飛躍的に増加している。
 一昔前は素人でも看破できるような稚拙なつくりのフィッシング詐欺メールや詐欺サ イトだったものが、正規のものと間違えてもおかしくないようなつくりになってきて いる。トロイの木馬などのマルウェアを利用したMITB(Man In the Browse)のような 高度な攻撃も一般化してきている。
 また最近では、他社サイトから流出したパスワード情報をもとに実施されるパスワー ドリスト攻撃のように、自社サイトの脆弱性対応だけでは防ぐことが困難な攻撃も出 てきており、先ほど述べた第一段階や第二段階のアプローチでは対応ができなくなっ てきている。

さらに、APTに代表される標的型サイバー攻撃では、政府関連機関や社会インフラ事 業だけでなく、その他の企業、特に知的財産を保有している企業への攻撃が普通に発 生している。
 米国では、標的型サイバー攻撃をしかける攻撃者が企業ネットワークへ侵入すること を完全に防ぐことはできないという共通の認識がすでにできている。
 日本では、まだそこまでの認識が出来上がってはいないのではないだろうか。
 前述の金銭目的のサイバー犯罪では、犯罪者は窃取した情報をもとにすぐに金銭を取 得しようと試みるため、企業側が比較的短期間に被害を認知できるのに比べ、知的財 産情報の窃取を目的とした標的型サイバー攻撃の場合、攻撃者が窃取された情報を利 用していても、すぐにはそれを認知できないという決定的な違いがある。

パスワードリスト攻撃のようにパスワードが合致していたとしても、Webサイトに対 して怪しい動きはないか、サイバー攻撃においては、攻撃者がネットワークにすでに 侵入している前提にたって怪しい動きはないかを監視し、攻撃の早期検出、検出後の 対応を迅速に行えるようなしくみや体制を整備することがリスクを最小化することに つながり、これが第3段階のリスクベースのアプローチと呼ぶものである。

成熟度の第四段階であるビジネス指向のアプローチは、さらに一歩進んだものになり、 複数のセキュリティ・インシデントが同時に発生したような場合に、どのインシデン トに最初に対応すべきかをビジネスへの影響度、すなわちビジネスリスクの大きさで 判断し、対処することである。
 たとえば重要情報を重点的に扱っているIT資産や事業継続の観点から止めることので きないビジネスプロセスと関わっているようなIT資産への攻撃は、重大なビジネスリ スクを生じるインシデントとして最優先で対応されるべきである。

自社が成熟度のどの段階にあるか、一度セキュリティへのアプローチを再点検し、 リスクベースの考えを取り入れて今後対応を検討してみてはいかがだろうか。



#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【ワーキンググループ便り】
★組織で働く人間が引き起こす不正・事故対応WGでは、IPA「組織における内部不正防止ガイドライン」対応ソリューションガイドを鋭意制作中です。ご期待下さい!
★情報セキュリティ対策マップ検討WGは、隔週水曜日に会合を行っています。
 活動にご興味ある方は事務局までお問い合わせ下さい。 ★「中小企業向け指導者育成セミナー」申込み受付中です。
 JNSAメンバーの講師陣が全国を回ります。ご興味ある方はぜひご参加下さい。
 http://www.jnsa.org/ikusei/
★部会・WG予定 
その他、活動スケジュールはこちらをご覧下さい。
 http://www.jnsa.org/aboutus/schedule.html
-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい!
-----------------------------------------------------------------
【事務局からの連絡、お知らせ】
★10月のせきゅり亭のお題は「秋」「運動会」「食欲」です。
 みなさまからの投稿をお待ちしております。
 http://www.jnsa.org/update/senryu.html
★SECCON(Security Contest)長野予選・福岡予選が終了しました。
 両大会の試合結果を公開しています。
  http://2013.seccon.jp/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail
*************************************
JNSAメールマガジン 第20号 
発信日:2013年10月11日
発行: JNSA事務局 jnsa-mail
*************************************

Copyright (C)  Japan Network Security Association. All rights reserved.