その他セキュリティ クニエ

これから必要なのは侵入後の対応策--今取るべきセキュリティ対策の本筋

コロナ禍でデジタルワークプレイスの推進が進んだことで、境界型ネットワークの限界が市場で議論されている。クニエでディレクターを務める倉橋氏が、目指すべきセキュリティ対策を解説する。

 フレームワークコアは、企業を含め、組織の種類や規模に関係なくサイバーセキュリティ対策とその期待される効果、参照すべき情報を示している。「識別(Identify)」、「防御(Protect)」、「検知(Detect)」、「対応(Respond)」、「復旧(Recover)」の5つの機能で構成し、各組織はこの5機能を並行かつ継続して実行しなければならない。

 さらに、5つの機能のそれぞれが、以下3つの要素で構成される。(図3

  1. カテゴリー:それぞれの機能を細分化
  2. サブカテゴリー:「カテゴリー」を詳細化
  3. 参考情報:「サブカテゴリー」に関連するガイドライン等、参考すべき情報群

 実際の例を示すと以下の通りである。(図4

 この例をもとに読み解くと、識別機能には「資産管理」カテゴリーがあり、デバイスやシステム、ソフトウェアなどの目録作成が必要とされ、その具体的な内容を自組織で規程化するための指標となるガイドラインは、例えば、NIST SP800-53 Rev.4(PDF)のCM-8とPM-5に記載されている、と理解していけば良いだろう。

 企業にとって、セキュリティリスクとなるサイバー攻撃の脅威に対応するために、まず重視するのは「識別」と「防御」である点は、これまでもこれからも変わることはない。

 ただし、自社ネットワークの境界に対してのみの防御では、もはや防御にはならない。デジタルワークプレイスによって利用者の端末は広範囲に分散し、クラウドの利用によって守るべき情報資産も広範囲に分散した。この分散した情報資産をどう防御するのか、デファクトスタンダードに則って、改めて検証してみる必要がある。

 そして、鉄壁の防御方法などはなく、侵入を100%防ぐのはもはや不可能である。市場での理解も進んでいるが、侵入後の危機管理を多層防御や出口対策といった防御方法のみで対応するのではでなく、「検知」による脅威の可視化と「対応」「復旧」という危機管理、ビジネスを止めないための事後対策への重要性が求められている。

 現在の企業には、信頼性と利益を守るための、包括的なサイバーセキュリティ対策が求められている。NIST CSFなど信頼できるベースラインに基づいて、デファクトスタンダードに則った対策を進め、その状況を説明できることは、社会的信頼獲得の点からも極めて重要になる。

まとめ

 グローバルに活動する日本企業にとって、自社のサイバーセキュリティ対策状況の説明は、サプライチェーンも含めて、随時求められる。日本国内でのみ活動する企業や中小企業も、今ではインターネットを介して常に全世界の脅威と対峙している。セキュリティのデファクトスタンダードへの準拠は極めて重要であり、かつ改訂へのタイムリーな追従も求められる。

 NIST CSFは、各企業の実情にあわせて利活用されるフレームワークを想定しており、CSFの内容を理解し、自社に則したセキュリティ対策を導き出す必要がある。

 また、参考情報の要素で言及されるSP800-53やSP800-171、CIS Controlsをベースラインに、各カテゴリーの具体策、規程や細則、マニュアルなどの整備、実装することになる。システムだけでなく、体制や対応フローなど、考えなければならない範囲は広いため、企業としては優先度の高い施策や必要最低限の範囲を先行着手したいと考えるかもしれない。その際は、CIS Controlsのトップ20を実践していくのもよい。

 CIS Controlsは組織や企業が「最初に最低限行わなければならないこと」に注力できるように優先度付けしており、かつ自動化を念頭に置いているため、人員不足が要因で対策が進まない企業への有効な指標になるだろう。

 コロナ禍によるテレワーク推進など、各企業は市場の変化への対応とともにサイバーセキュリティリスクの認識、対策を推進している。

 しかし、インターネットを介した脅威は常に全世界が相手である。常にデファクトスタンダードを意識した対策を計画する必要があり、管理策としてツールやソリューションを導入する場合も、デファクトスタンダートとなっているガイドラインへの準拠性に基づいている必要がある。

 次回は、最近のデジタルワークプレイスの推進やクラウドの活用によって活発に議論されるようになっている「ゼロトラストセキュリティ」に関して考察する。

倉橋 孝典(くらはし たかのり)
クニエ サイバーセキュリティ対策/CISOサポート担当
ディレクター

大手サービスプロバイダーにてサイバーセキュリティ対策やITアーキテクトとしての実務経験を経て現職。ITインフラやセキュリティテクノロジーに精通し、情報システム部門や情報セキュリティ部門、ITサービス事業社のサイバーセキュリティ対策や設計支援、各種認定取得支援、セキュリティ規程整備などのプロジェクトをリードし、CISOをサポートする。また、QUNIEセキュリティラボを運営し、新たなクラウド環境やセキュリティ動向の研究とソリューション開発をリードする。

「その他セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する
  2. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  3. APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?
  4. クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?
  5. ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]