脱IT初心者「社長の疑問・用語解説」(第81回)
成功するポイント?アクセスポイント
公開日:2022.02.15
経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は7番目の項目「インシデント発生時の緊急対応体制の整備」について解説する。
経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。
今回のテーマ「インシデント」とは、出来事・事件を意味する英単語。情報セキュリティ分野では「望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの(ISO 27000)」と定義されている。
具体的にはサイバー攻撃、マルウエア感染、不正アクセス、情報漏えいなど、重大な結果につながりかねない出来事。これらのインシデントは当然ながら起きないことが望ましいのだが、実際にはどこかで毎日のように発生しているというのが現状だ。その被害を最小限に食い止めるためにどのような体制を整備すべきか、本ガイドラインで示された内容を紹介する。
インシデント発生時に最も重視・優先すべきなのが「初動対応」だ。具体的には発生事実の確認、被害状況の把握、影響範囲の特定といった項目が挙げられる。これらの初動対応に遅れが生じることは被害拡大に直結するため避けなければならない。
企業において情報セキュリティに関する初動対応の役割を担うのは、多くの場合情報システム部門となる。何らかのインシデントが発生した際、当事者もしくは関係者からの知らせを最初に受ける窓口は、基本的に365日、24時間体制で運用するのが原則だ。サイバー攻撃に備えてシステム、ネットワークを常時監視するSOC(Security Operation Center)や、インシデント発生時の対応に特化したCSIRT(Computer Security Incident Response Team)は世界各国で多くの組織が設立されており、最近では企業内に自社のCSIRTを設置する動きも加速している。
緊急事態に即応する体制が整備されていない場合、発生後に下記のようなさまざまな問題が生じてくる。
・コミュニケーション:
原因特定のための調査作業において、組織の内外の関係者間のコミュニケーションが取れず、速やかな対処ができない。
・情報開示:
速やかな情報開示が行われない場合、顧客や取引先などにも被害が及ぶ恐れがあり、損害賠償請求など責任を問われる場合がある。
・報告:
法的な取り決めがあり、所管官庁などへの報告が義務付けられている場合、速やかな通知がないことにより、罰則などを受ける場合がある。
などが挙げられる。即応体制が整備されておらず、こうした問題を生じさせた企業はインシデント後の対応が不十分とみなされ、最悪の場合は社会的信頼を失う事態にも陥りかねない。
\ かんたん入力で登録完了 /
執筆=林 達哉
【TP】
最新セキュリティマネジメント
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
その対策は効果ナシ!セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
2024年9月25日(水)①14時00分〜15時00分 ②18時00分~19時00分
セキュリティ関連