最新セキュリティマネジメント(第12回)サイバー攻撃情報の入手とその有効活用および提供

リスクマネジメント 働き方改革

2022.05.24

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は最後の10番目の項目、「情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」について解説する。

情報の収集・提供・共有を推進

 経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。

 サイバー攻撃の手法は多種多様で、その被害を防ぐための方法もさまざまだ。過去の事例を参考に企業が万全の対策を講じたとしても、攻撃者は新たな手法を考え、虎視眈々(たんたん)とわずかな隙を突いてくる。企業にとってセキュリティ対策は「ゴールのない取り組み」であり、これで絶対に安心というレベルに達することはないと考えておくべきだろう。

 そこで重要になるのが「最新情報の入手」だ。サイバー攻撃に関する情報はメディアで報じられるニュースをはじめ顧客や取引先など、多くのチャンネルから収集できる。これを基に現在の対策を見直し、日々アップデートしていくことが重要なポイントとなる。また、自社が攻撃を経験した場合、その情報を外部に発信し共有することは業界、ひいては社会全体のセキュリティレベル向上につながる。今回は情報の入手と共有、そして提供の進め方について解説する。

正確な情報を素早く入手

 わが国において、サイバーセキュリティに関する情報元として広く知られているのが、IPAや一般社団法人、JPCERTコーディネーションセンター(JPCERT/CC)が公開する「注意喚起情報」だ。両組織のWebサイトのトップページには新たに発見されたマルウエアをはじめ、ソフトウエア脆弱性、アップデートなどの情報が掲載され、随時更新されている。必要な情報が素早く確認できるため、ここで収集した情報を自社の対策に生かすことは、最も効率的な方法といえる。

 また、情報は入手するだけでなく、積極的に提供すればより役立つものとなる。サイバーセキュリティに関する報告を受け、調査・分析を行うCSIRT(Computer Security Incident Response Team:シーサート)間における情報共有や、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)などのコミュニティー活動への参加による情報収集を通じて、自社のサイバーセキュリティ対策の強化を図るのは有効な方法だ。

 情報はさまざまな方法で収集が可能だ。例えばセキュリティ関連企業のWebサイトには、自社で把握した新たなリスクに関する情報が掲載されているし、業界単位で事業に関係するセキュリティ情報をまとめているケースもある。

 ただし、情報は「多ければ多いほどいい」というものではない。臆測や不正確な情報は役に立たないどころか、むしろ対策の足を引っ張る障害になりかねないリスクとなる。情報の出どころを確認し、冷静に対応する姿勢が欠かせない。

情報共有の重要性を認識しよう…

続きを読むにはログインが必要です

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=林 達哉

「リスクマネジメント」人気記事ランキング

AIによるおすすめ記事

他の方はこんな記事も見ています

連載バックナンバー

オンラインセミナー動画

配信期間

2022年7月20日(水)~2023年3月31日(金)

業務効率化関連

ハイブリッドワークセミナーこれからのテレワークとコミュニケーションのカタチとは?

新型コロナウイルスの影響もあり、企業におけるテレワークの導入が拡大しました。
一方でまん延防止等重点措置が解除され、今後どのような働き方をすべきかめざすべきか迷われる企業さまも増えているのではないでしょうか。
本セミナーでは日本テレワーク協会の村田瑞枝氏をお招きし、これからのテレワークのトレンドや、コミュニケーションのあり方についてお話いただきます。

配信期間

2022年6月3日(土)~2023年3月31日(金)

業務効率化関連

企業のDX化と「攻め」のオペレーションへの転換

DXという言葉はすっかりバズワードとなり、今やすべての企業にとってデジタル化は必須となっています。
しかし、DXの捉え方は会社によってさまざまで、「とりあえずデジタル」のような取り組みをDXと位置付けているケースもございます。
本セミナーでは、まず第一部で企業におけるDXの定義とDX活動を着実に前進させるポイントについてご説明し、第二部ではDX活動の第一歩として「おまかせAI-OCR」を活用したオペレーション改革について、具体例を交えながらご紹介します。