こんにちは!
ナビゲータのEVEです。
昨日のやっと新システムのボリュームがなんとなくですが、分かるレベルになりました。10月いっぱいは、製造済みのクラスを、PSRの規約へ準拠させ、11月からは、残りのクラスを作るということになりそうです。そして、翌年から、セキュリティクラスを作りながら、それに合わせて、ログイン画面を作っていくということになります。システムを作るに際し、どうやって作っていき、どの辺を気を付けなければならないのか解説をしていく予定ですので、興味がある方は楽しみに待っていてください。内容としては、情報処理安全確保支援士で勉強した内容となります。それ以上は話せないということはご理解ください。
では、早速、昨日の続きで、サイバーセキュリティ経営ガイドラインの話しをしましょう!
[昨日は?]
サイバーセキュリティ経営ガイドラインには、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保し、そのために守らなければならない3原則と、会社として実装すべき重要10項目があるという話しをしました。昨日は、3原則の話しをしましたので、本日は、昨日の続きで、重要10項目の話しをしましょう。
[重要10項目]
重要10項目ですが早速その内容を見ていきましょう。以下は、「サイバーセキュリティ経営ガイドラインver3.0」からの抜粋です。
【原則1:リーダーシップの発揮】
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・ 復旧体制の整備
【原則2:サプライチェーンセキュリティの強化】
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握 及び対策
【原則3:関係者との積極的なコミュニケーション】
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
見ていただくとわかりますが、以上の重要10項目は、3原則と対応がとれています。
まず、原則1では、サイバーリスクを経営者が経営課題と認識し、適切な対策を講じることで、事業の継続性や信頼性を確保するために、経営者がCISOに対して指示する内容が指示1から指示8に記載されています。
原則2、3では、事業の継続性や信頼性を確保することにあり、その事業継続性や信頼性を維持するために、指示9、10をCISOに指示するということになります。
なお、CISOに指示する内容としていますが、以上の10項目の実装は、CSIRTがいいと考えます。今回、情報セキュリティに関する話題として、サイバーセキュリティ経営ガイドラインを紹介したのも、CSIRTを組織化するための知識を得るためでした。
なお、昨日原則3について、開示することへのリスクを中心に書きましたが、重要10項目をみると、情報の収集や共有なども、関係者との積極的なコミュニケーションに含まれています。この活動自体は、CSIRTの活動に合致した部分になります。
[CSIRT]
昨日から、CSIRTについて、書いていますが、どのような組織なのでしょうか?今回もChatGPTに解説をしてもらいましょう!
CSIRT(Computer Security Incident Response Team、コンピュータセキュリティインシデント対応チーム)は、組織内で発生するセキュリティインシデント(サイバー攻撃やシステム障害など)に迅速に対応し、影響を最小限に抑えるための専門チームです。CSIRTは、インシデントの予防、検知、対応、復旧までの一連の活動を行い、組織の情報セキュリティ体制を強化します。
■CSIRTの役割
❶インシデント対応
CSIRTの主な役割は、セキュリティインシデントが発生した際に速やかに対応し、被害の拡大を防ぐことです。これには、インシデントの特定、原因の分析、影響範囲の評価、再発防止策の実施が含まれます。
❷セキュリティ監視
システムやネットワークの監視を通じて、異常な活動や潜在的なセキュリティインシデントを早期に検知する役割も担います。ログの監視や脅威インテリジェンスを利用して、サイバー攻撃の兆候を発見します。
❸インシデント予防
インシデントを未然に防ぐために、脆弱性管理やセキュリティ教育、セキュリティポリシーの策定・改善を支援します。これにより、組織全体のリスクを低減します。
❹インシデント後の復旧と改善
インシデント発生後には、システムの復旧や再発防止のための対策を講じます。また、対応の過程で得た教訓を基にセキュリティ対策の改善やポリシーの見直しを行います。
■CSIRTの構築方法
CSIRTは、各組織の規模や業種に応じて構築されます。一般的には、次のステップで設置されます。
・体制の決定: 専任チーム、兼任チーム、または外部の専門機関に委託する形式が考えられます。
・メンバーの選定: セキュリティエンジニア、ネットワーク管理者、法務担当者など、さまざまな専門家がチームに含まれます。
・運用方針の策定: インシデント対応フローや報告体制、対応の優先順位などを事前に定めます。
・トレーニングと演習: チームが迅速に対応できるよう、定期的な訓練や模擬インシデントを実施します。
■CSIRTと関連する組織
・CERT(Computer Emergency Response Team)
CERTは、CSIRTと同様にインシデント対応を行う組織ですが、特に大規模な国や地域を対象にしたインシデント対応を行う組織を指すことが多いです。例えば、JPCERT/CCは日本の国際的なインシデント対応機関です。
・SOC(Security Operation Center)
SOCは、ネットワークやシステムのセキュリティ状況を常に監視し、インシデントの検出と通知を行うチームです。CSIRTがインシデント対応を専門とするのに対し、SOCは監視業務に特化しています。
■まとめ
CSIRTは、セキュリティインシデントに対して迅速かつ効果的に対応し、組織の情報資産を守るための重要な役割を果たします。組織の規模や業種に応じた適切なチーム体制を構築し、定期的な訓練やセキュリティポリシーの改善を通じて、インシデント対応能力を向上させることが重要です。
[あとがき]
多くの場合、推定で文章を書いているのですが、本日は、断定的に書かせていただきました。なお、断定的には書いているのですが、本当のところ、行間を自分の知識でうめて記載しているので、正確なところは分かりません。自分で作ったモノではないからです。ですので、もし、疑問がありましたら、経済産業省に問い合わせてください。今回のこの資料は、こんな考え方もあるんだなぐらいで見ていただければありがたいです。
Windowsについて、断定的に解説をしている人がいますが、ときどき、本当か?って疑うタイミングが多々あります。自分で作ったモノでもないのに、よくそんなに断定的にしゃべれるなって・・・。Windowsってブラックボックス化され、かつ、複雑で、しかも、バージョンによりかなり違うという印象があるからです。そんな経験をすると、自分が作ったシステム以外は、どうしても推定で話してしまいます。サイバーセキュリティ経営ガイドラインも実は、システムとして捉えるとそんな感じになるのです。
では、また!