こんにちは!
ナビゲータのEVEです。
昨日は、久しぶりに東京にいるにも関わらず、10時間以上寝てしまい、ブログの更新をすることができませんでした。ただ、そんな1日を過ごしてみて、1週間に1日ぐらいはそんな日が必要かなって感じています。今後、日曜日から月曜日に10時間ぐらい寝れる日をつくろうかなって思っています。土、日曜日は中小企業診断士の試験があるので、その日に休むのはリズム的にあまりよくないから、月曜日にします。
では、そんな、日の翌日のブログですが、昨日書く予定だった、セキュリティに関するお話しをしましょう!
[サイバーセキュリティ経営ガイドライン]
2022年の情報処理安全確保支援士のWeb研修で頻繁に出てきたキーワードに、「サイバーセキュリティ経営ガイドライン」があります。2023年度の研修はあまり出てこなかったのですが、多分、サイバーセキュリティ経営ガイドラインよりは、DXの方が知名度が上がり、理解されやすくなったからかもしれません。ただ、その重要性は失われたわけではなく、2015年12月28日に初版が出稿されてから、ver3.0は、2023年3月にリリースされ、今なお企業におけるセキュリティに重要な役割を果たしていると思われます。
起業に際し、CSIRTを導入しようと考えています。そのCSIRTを実践しようとした場合、非常に重要なガイドラインです。そのため、このブログでサイバーセキュリティ経営ガイドラインを勉強するのと同時に、知識を共有したく今回紹介することにしました。
[サイバーセキュリティ経営ガイドラインとは?]
サイバーセキュリティ経営ガイドラインの対象は、日本国内のすべての企業です。そして、その中でも、タイトルからも分かるように、経営者をターゲットにして策定されました。
その内容は、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保することにあります。具体的には、「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」がまとめられています。
[サイバーセキュリティ経営ガイドラインの3原則]
サイバーセキュリティ経営ガイドラインの3原則は、企業経営リスクへの対策を検討、議論するにあたり、考慮すべき原則が記載されています。以下は、経済産業省から出ている、サイバーセキュリティ経営ガイドラインからの抜粋です。
❶経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
LRM株式会社のサイトには、以下のような形で要約されています。
❶リーダーシップの発揮
❷サプライチェーンセキュリティの強化
❸関係者との積極的なコミュニケーション
❶のリーダーシップンの発揮は、情報セキュリティガバナンスで記載されている通り、情報セキュリティ対策の透明性を向上しその責任が経営層にあると定義しています。その定義されたその内容を主導権を持って実施するということを意味しているのだと思われます。
❷は、あまり世間一般には知られていないのですが、親(大)会社が狙われる手口として多いのが、サプライチェーン攻撃だと言われています。どんな攻撃か端的に言うと、子会社から親(大)会社を攻撃するといったものになります。なんで子会社からかというと、親会社は、セキュリティについても十分に費用をかけ、社員教育も十分し、攻撃するには、かなりハードルが高くなっています。しかし、子会社は、資金的にも、時間的にも親(大)企業ほどかけることができず、攻撃者からすると攻撃しやすいのです。そんな親と子の間のネットワークは通常つながっています。そのため、子会社から親(大)会社への攻撃が成立してしまうのです。その攻撃名が、サプライチェーン攻撃と言われています。その攻撃を念頭に入れた1原則だと思われます。
❸は、最新のセキュリティを実装するために必要不可欠な、関係者を指します。それは、CISOのみならず、社内のセキュリティ関係者、外部では、IPA、JPCERT/CCを指します。その関係者の人たちと、緊密なコミュニケーションをとることを求めています。
[あとがき]
情報セキュリティガバナンス、ISO 27001、NISTフレームワークなど、いろいろな規約、ガイドラインなどがからみあっていて、非常に説明しにくいのですが、その部分については、後日解説をします。ここでは、いろいろなフレームワーク、基準、規約、ガイドラインがあり、いろいろ関連しあっているとぐらいの理解でいいと思います。調べていくうちに、目から鱗なんてことがあるかもしれません。
情報処理安全確保支援士の試験でも出題されるのですが、フレームワーク、基準、規約、ガイドラインなどの識別がむずかしく、どれにどんなことが書かれているのか覚えるのに非常に苦労した記憶があります。情報処理安全確保支援士の試験では、概要とその違いぐらいしか覚えていませんでしたが、この場をかりて、深い知識にできればと考えています。
では、また!!!
■サイバーセキュリティ経営ガイドラインとは?その内容を徹底解説(LRM株式会社)
https://www.lrm.jp/security_magazine/cybersecurity_guideline/
■サイバーセキュリティ経営ガイドラインver3.0(経済産業省)
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf