ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. サイバーセキュリティ グローバルトレンド
ここから本文です。

サイバーセキュリティ グローバルトレンド

リスクマネジメントとしてのセキュリティ対策

レジリエントな組織であるためには、セキュリティ・バイ・デザイン※ を組み込んだ技術的対応に加え、組織的・人的な側面も適切に組み込まれることが必要です(図参照)。

拡大する[図]サイバーセキュリティ対策のプロセスの整理例 産業横断サイバーセキュリティ人材育成検討会 中間報告書より

そこで重要になるのが、経営層による理解とリーダーシップです。
この点は国内外において重要視されており、サイバー攻撃は、いまや企業活動全体のリスクであり、経営者が自らの認識のもと、リスクマネジメントの一環として判断すべき課題と認識されています。

セキュリティ対策は、企業活動のあらゆる面に存在しており、インシデント対応においては、関連する部門が連携して対処することが必須となります。つまり、企業は、経営者をはじめ組織全体でサイバーセキュリティリスクの管理を適切に行うことが求められています。その参考となるベストプラクティス、ガイドラインなどをご紹介します。

  • システムの企画・設計段階からセキュリティの確保を盛り込むこと
    (サイバーセキュリティ戦略〈平成27 年9 月〉より)

サイバーセキュリティ経営ガイドライン

2015年12月に経済産業省及び独立行政法人情報処理推進機構(IPA)より発行されたガイドライン。大企業及び中小企業(小規模事業者を除く)のうち、ITに関するシステムやサービスなどを供給する企業及び経営戦略上ITの利活用が不可欠である企業を想定している。

サイバーセキュリティは経営問題であると明記されており、経営者が認識する必要のある「3原則」、セキュリティ責任者となる担当幹部に指示すべき「重要10項目」が提示されており、該当企業は、これらに基づいた対応が求められる。

経営者が認識する必要がある「3原則」(抜粋)

  1. サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップによって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
  2. 自社のみならず、系列企業やサプライチェーンのビジネスパートナーなどを含めたセキュリティ対策が必要である。
  3. 平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。

アメリカ国立標準技術研究所(NI ST)サイバーセキュリティフレームワーク

 2013年の大統領令13636号「重要インフラのサイバーセキュリティの向上」に基づき、米国政府と民間部門の連携により策定されたフレームワーク。サイバーセキュリティリスクの管理にあたってのガイダンスを提供しており、民間企業を対象としている。
フレームワークでは、産業界で効力を発揮している標準、ガイドライン、ベストプラクティスを集約しており、多様なサイバーセキュリティアプローチを体系化・構造化して示している(そのため、特定の業界や国に特化したものではなく、米国外に所在する企業でも利用することができる)。各企業にはそれぞれ特有のリスクがあるため、対策の導入も異なるが、以下のフレームワークの活用により、必要な対策を特定し、優先順位を決めて投資することで投資の効果を最大限に引き出すことができる。

フレームワークの構成

  • フレームワークコア
    共通のサイバーセキュリティ対策のベストプラクティス、期待される成果、適用可能な参考情報をまとめたもの。同時的・連続的に実行される5つの機能「特定」「防御」「検知」「対応」「復旧」で構成される。
  • フレームワークインプレメーションティア
    企業がサイバーセキュリティリスクをどうとらえるか、それらのリスクを管理するためにどのようなプロセスを実施しているかを示す。
    ティア1(部分的)~ティア4(適応している)のいずれの段階かで示される。
  • フレームワークプロファイル
    本フレームワークのカテゴリー及びサブカテゴリーから企業が選択した期待される成果(セキュリティ対策の実施状態)を表す。

情報セキュリティマネジメントシステム(ISMS)
~ISO/IEC JTC1 SC27(セキュリティ技術)におけるISMS関連国際標準化動向~

ISMSはISO/IECで国際標準化されているマネジメントシステムの一つで、日本では、組織内の情報セキュリティ管理の取組みとして広く受け入れられている。ISMSでは、リスクアセスメントをもとに必要なセキュリティレベルを決定し、プランを持ち、資源配分を行い、そのシステムを維持・改善する(PDCAサイクルの維持)。

ISMSは、ISO/IEC 27001:2013(ISMS要求事項)を中心に、ISO/IEC 27000シリーズとして規格化されている。主な文書には以下がある。

  • ISO/IEC 27000:2014(情報セキュリティマネジメントシステム-概要及び用語)
  • ISO/IEC 27001:2013(情報セキュリティマネジメントシステム-要求事項)
  • ISO/IEC 27002:2013(情報セキュリティ管理策の実践のための規範)
  • ISO/IEC 27005:2011(情報セキュリティリスクマネジメント)
  • ISO/IEC 27014 :2014(情報セキュリティガバナンス)

その他、27000シリーズとして多くの関連文書が発行されている。発行後3年を経過した標準の改訂作業とともに、新規関連標準の議論も進んでいる。2015年には以下が発行された。

  • ISO/IEC 27001:2013正誤票2:2015
  • ISO/IEC 27002:2013正誤票2:2015
  • ISO/IEC 27006:2015
    情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
  • ISO/IEC 27017:2015
    クラウドサービスのためのISO/IEC 27002 に基づく情報セキュリティ管理策の実践のための規範
  • ISO/IEC TR 27023改訂版
    ISO/IEC 27001 とISO/IEC27002のマッピング

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る