セキュリティ対策vol.22|日本政府、サイバーセキュリティ対策を米基準へ統一
今後のセキュリティ基準は米国仕様へ
日本政府が業務委託先の企業に対して米国政府基準のサイバーセキュリティ対策を義務付けることを決定しました。
この取り組みは、2023年中に行われるものであり基準を満たさない企業とは業務委託契約をしない、という非常に厳しいものとなっています。
政府のサイバーセキュリティ戦略本部が中心となって、現在のセキュリティに関する統一の基準を改める方向で調整が進んでおり、米政府の採用する「システムへのアクセス制限、アクセス権限を与える担当者の審査、関係する通信の監視・管理・保護」などが必要になるとされています。
今回の記事では、新しく発表をされた、セキュリティ基準についてどのような事が求められるかを予想・解説させて頂きます。
米国のサイバーセキュリティ基準とは
米国の設定をしているサイバーセキュリティの基準は、米国立標準技術研究所(NIST)が策定したセキュリティ対策のガイドライン「NIST SP800-171」を元に設定がされており、「機密情報以外の重要な情報」をも保護するための対策をまとめたものとなっています。
「NIST SP800-171」が制定されたのは2010年にまでさかのぼります。
このころに、ネットワークの高度化や多様化が進み、サイバー攻撃の「入口」が増えたことで、重要情報の保護の強化が必要となったことが背景にあります。
「NIST SP800-171」では、保護の対象となるのが「機密情報」以外についても保護対象としたことに特徴があり、日本の従来のセキュリティ基準「ISO27001」とは感染や漏えいが判明した後の復旧することまで規定がされている事に違いがあります。
この「NIST SP800-171」では技術的な必要要件(アクセス制御など)77項目に加え、セキュリティを運用していくための監査や訓練、など技術以外のセキュリティ要件も33項目、合わせて110項目の膨大な範囲となっているため、今後のセキュリティの指針は大きく変わってくるものとなるでしょう。
単にセキュリティ被害を防ぐための決まりというよりも、被害を防ぐことはもちろん、起きた場合の復旧までを視野に入れた対応が必須となってきます。
アストンではセキュリティリスクのチェックリストを無料で配布しています。
5分でわかるセルフチェックリストとなっているため、お気軽にお試しください。
企業に求められる対応
それでは我々企業では新基準に基づいてセキュリティ基準を刷新する場合にどのような事が必要になるのでしょうか。
先にあげさせていただいたように、まず必要となるのはサイバー攻撃を受けた後の対策の強化です。
それらは「検知」「対応」「復旧」と3つの段階に分けることが可能です。
それぞれにどういった対策が可能かを例として挙げさせて頂いております。
当然ここにあげたことがすべてではなく、それだけしていればよい、というものでもないことはご承知おきください。
検知
サイバー攻撃を受けることを前提として、どのように検知をするのか、ということが重要となります
- モニタリングと監視
ネットワーク、システム、アプリケーションのログやアラートを監視し、異常な活動や不審なパターンを検知することが重要です。セキュリティインシデントを早期に発見するために、セキュリティ情報とイベント管理システムの導入が有効です。 - 脅威インテリジェンスの活用
最新の脅威情報を収集し、解析することで、既知の攻撃手法やマルウェアに対してより迅速に検知することができます。 - 異常行動検知技術
システムやユーザーの通常のパターンを学習し、それに基づいて異常なアクティビティを検出する機能を導入することが重要です。
対応
サイバー攻撃を受けた場合に、「誰が」対応をするのか等、計画の策定が求められます。
- 対応計画の策定
サイバー攻撃が発生した場合に備えて、明確なサイバー攻撃への対応計画を策定し、関係者やチームの役割と責任を明確にします。 - 早期の対応と隔離
サイバー攻撃が検出された場合には、迅速に適切な対応を取り、攻撃の拡大を防ぐために感染したシステムやネットワークを隔離することが重要です。 - 証拠の収集
サイバー攻撃の原因や影響範囲を特定するために、攻撃に関連するログやデータを収集し、証拠を保全することが重要です。
復旧
被害を受けた状態を解消するための手順を含みます。
- システムの復旧
サイバー攻撃発生後、被害を受けたシステムやネットワークを元の安定した状態に復旧させるための措置を講じます。バックアップデータの利用や復旧手順の実行などが含まれます。 - 被害評価
サイバー攻撃の影響範囲と被害の程度を評価し、復旧に必要な措置や修復作業の優先順位を決定します。被害の範囲が大きい場合は、適切な専門家や外部のサービスを活用することも検討されます。 - 事後対策と予防策の実施
サイバー攻撃からの学びを元に、同様の攻撃を未然に防ぐための対策を実施します。セキュリティシステムの強化、パッチ適用の確認、従業員教育の強化などが含まれます。
これらの段階は、サイバーセキュリティにおける総合的な対策を確立するために重要です。
早期の攻撃検知と迅速な対応、そして被害の復旧と予防策の実施が、組織や企業のセキュリティを強化するために必要な要素となります。
また、これらの段階は継続的なプロセスとして捉えられるべきであり、サイバーセキュリティの改善と追加対策が必要な場合は、定期的に見直しを行うことも重要です。
<ご相談はアストンへ>
アストンでは最新のセキュリティ事情に精通した担当者が対応をさせていただきます。
新基準にあわせたルールの策定など、お気軽にお問い合わせください。
まずはご相談ください。
株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/