英国のサイバーセキュリティ当局である国家サイバーセキュリティセンター(NCSC)は、中堅企業~大企業が組織のサイバーセキュリティを管理するための対策として、「10 Steps to Cyber Security」というガイダンスを公開しています。
セキュリティ防護策を10のステップに細分化し、サイバー攻撃被害の発生可能性を低減し、またサイバー攻撃を受けた際の組織への影響を最小化することを目的としています。
本項では、10ステップの簡単な解説と、さらにトピックごとの記事の紹介を行います。
BOOSTING CYBER SECURITY
サイバーセキュリティリスクを低減するためには、組織の特性やリスクを理解し、適切なリソース配分に基づいた対策を取る必要があります。
一方で、セキュリティがカバーする範囲は拡大し、また市場には様々な製品やソリューションが存在します。このページでは、どこからサイバーセキュリティ対策を進めればいいかわからないとお悩みの方向けに、公的機関ガイダンスに基づいた10ステップの対策やインシデント発生時の対処法、また各領域ごとの解説記事を紹介します。

NCSC10ステップで実践!組織のセキュリティ対策

10 STEPS
TO CYBER SECURITY
-
リスクマネジメント
STEP.01 -
セキュリティアウェアネスとトレーニング
STEP.02 -
資産管理
STEP.03 -
アーキテクチャと構成
STEP.04 -
脆弱性管理
STEP.05
-
アイデンティティとアクセス管理
STEP.06 -
データセキュリティ
STEP.07 -
ログとモニタリング
STEP.08 -
インシデント管理
STEP.09 -
サプライチェーンセキュリティ
STEP.10
STEP.01
リスクマネジメント
ーリスクベースのアプローチで組織を守るー
組織のデータやシステムを守るためには、リスクベースのアプローチを取ることが重要です。
サイバーリスクマネジメントを行うことで、組織を守るためのセキュリティ対策を適切に講じることが可能になります。

このフェーズでやること
- 事業の目的や優先順位を明確化し、組織に適したサイバーリスク管理体制(フレームワーク、ツール、方法)を確立する。
- 取締役会・経営層がサイバーセキュリティの重要性を認識し、かれらが必要な時に情報を得られる状態をつくる。
- 組織が活用するIT資産、利用者、プロセスを特定し、リスク管理の範囲を設定する。サプライチェーンやクラウド事業者といった外部要素も、リスク管理の対象とする。
- 組織の特性に応じたリスクアセスメントを実施し、対応策を定める。
- リスクに関する情報を得るために、信頼できる情報源を確保する。官・民が運営する情報共有コミュニティへの参加もその1つとなる。
- リスク管理を反復的なプロセスとして行い、技術や事業環境、脅威の変化に対応できるよう備える。
さらに詳しい記事はこちら
当社のリスクマネジメントサービス
STEP.02
セキュリティアウェアネスとトレーニング
ー従業員・職員にとって効果のあるセキュリティを協力して構築するー
サイバーセキュリティ戦略の中心は「人」です。良いセキュリティ習慣によって、「人」がインシデントを防止する重要な砦にもなります。
このような「人」のセキュリティ向上は、教育やトレーニングを通じて実現します。

このフェーズでやること
- 執行役員や管理職といった上級管理職に対し、セキュリティポリシーやプロセスを率先して守らせることで、組織として取り組む姿勢を示してもらう。
- 各事業や業務フローを理解し、人々の仕事に適したポリシーやプロセスを実現する。
- トラブルや問題を通報する仕組みを用意し、人々がその手段を認知している状態を作る。セキュリティ上のミスやインシデントを責めない風土を形成する。
- 対象者のレベルや優先順位をよく吟味して教育を実施する。教育は、短時間の、使いまわしでない教材を用いて頻繁に行う方が効果的。
さらに詳しい記事はこちら
STEP.03
資産管理
ー管理すべきデータとシステムを特定し、その目的を認識するー
資産管理(Asset Management)は、管理すべき資産を特定し、その資産に関する知見を維持する施策です。
ITシステムは常に変化、増大していくため、これを常に把握しておくのは骨の折れる作業ともなります。しかし、シャドーITや、パッチ適用されていない製品、インターネットに露出したストレージ等が生まれた時、インシデントが発生します。すべての資産を把握しているということは、リスク管理のための前提条件です。

このフェーズでやること
- 資産情報のユースケース(リスク管理、脆弱性管理、モニタリング等)を想定し、必要とされる資産情報を定義する。
- ソフトウェア・ライセンス管理や設定管理、調達など、他の管理業務と連携した体制を確立する。
- 作業者の負荷を軽減できる自動化されたソリューションやプロセス、アセット検知ツール等を導入する。
- 重要サービスとそれに関連するデータ、技術的な依存関係を特定し、優先度を定める。
- 外部と連接したシステムやサードパーティシステム、クラウドサービスも含めたアーキテクチャを理解する。
- 不要なシステムやデータ、アカウントを確実に廃棄し、リスクの温床とならないよう心がける。
STEP.04
アーキテクチャと構成
ーシステムを安全に設計・構築・保守・管理するー
強いサイバーセキュリティを実現するために、
組織のシステムおよびサービスはセキュアに設計されている必要があります。また、新たな脅威やリスクに対応できるよう維持保守しなければなりません。

このフェーズでやること
- システム設計に先立って、特定されたリスクや脅威モデルに基づきセキュリティコントロールを設定する。
- システムのライフサイクルを考慮し、変化する脅威に適応できるようにする。
- 維持・アップデートしやすいシステムを作る。クラウドの採用や、MDM等の構成管理ツールを活用する。
- 多層防御やアタックサーフェス低減、DoS対策等、侵害と妨害を阻止する対策をとる。
- マイクロセグメンテーションやゼロトラスト、AVといった侵害インパクトの低減策をとる。
- バックアップ対策をとる。
- 適切な通信の制限を行い、ロギング、モニタリングを行うことで検知能力を向上させる。
- 開発環境および変更管理におけるセキュリティを確保する。
さらに詳しい記事はこちら
STEP.05
脆弱性管理
ーライフサイクルを通じてシステムを保護するー
大部分のセキュリティインシデントは公開脆弱性によって引き起こされています。
セキュリティアップデートの適用は、サイバー攻撃を未然に防ぐために非常に重要です。

このフェーズでやること
- 自動アップデートやSaaS、脆弱性スキャン等も活用しつつ、システムを最新の状態に保持する。
- 事業の重要性や脆弱性の重大度を検討し、優先度をつけて対応する。
- 自動ツールのみならず、ペンテストやレッドチーム演習等も活用し脆弱性管理状況をテストする。
- アップデートの難しいレガシーシステムに対しては、ネットワークからの分離等適切な対策を講じる。
さらに詳しい記事はこちら
当社のリスクマネジメントサービス
STEP.06
アイデンティティとアクセス管理
ーシステムとデータに対するアクセスを制御するー
システムとデータを保護し、不正アクセスを防ぐためには、ユーザー、デバイス、システムに対する適切なアクセス制御手段を採用することが不可欠です。

このフェーズでやること
- 適切なアイデンティティ・アクセス管理ポリシーとプロセスを作成する。プロセスには、監査記録の取得・保管についても言及している必要がある。
- 退職者・異動者、テスト用等のアカウントが速やかに失効されるプロセスを運用する。
- パスワードへの攻撃やパスワード窃取に対抗するため、多要素認証を実装する。
- パスワードを使わざるを得ない場合は、強力なポリシーやロックアウト等の対策を講じる。
- 特権アカウントのためのセキュリティ対策を講じる。
- 悪意ある振る舞いを検知できる態勢を整備する。
さらに詳しい記事はこちら
当社のリスクマネジメントサービス
STEP.07
データセキュリティ
ー脆弱なデータを保護するー
転送中か保管中か、廃棄時かに関わらず、組織はデータを不正アクセスや改ざん等から保護する必要があります。
ランサムウェア攻撃が隆盛する現在、バックアップ対策の重要性も増大しています。

このフェーズでやること
- データを重要性で分類し、そのリスクに基づいた防護策を実施する。
- 転送中のデータ、保管中のデータ、サードパーティに委託したデータを保護し、重要データへのアクセスやクエリをモニタリングする。
- 法律や業種が定める情報保護基準を理解し遵守する。
- バックアップ対策を講じる。
- セキュアなプロセスに乗っ取りメディアを廃棄する。
さらに詳しい記事はこちら
当社のリスクマネジメントサービス
STEP.08
ログとモニタリング
ーインシデントを検知し調査できるシステムを設計するー
ログの収集はシステム運用とセキュリティ・モニタリングにとって本質的な要素です。ログをもとにモニタリングすることによって攻撃の兆候や不審な振る舞いを検知し、セキュリティインシデントを未然に防ぎ、あるいはインシデントの影響を最小限に留めます。

このフェーズでやること
- 組織が保有するリスクに応じて、目的を明確化しログを収集する。
- インシデント対応や調査に使えるようにログの保管場所や保存期間を定め、またログに対してセキュリティ保護を講じる。
- ログを分析に活用し、演習等を通じてインシデントレスポンス計画を策定する。
- 脅威インテリジェンスを活用し、脅威情報やIoCを入手する。
さらに詳しい記事はこちら
STEP.09
インシデント管理
ーサイバーインシデント対処計画を事前に計画するー
サイバーインシデントを早期に検知し対処することで、サイバー攻撃がもたらす被害や影響を低減することができます。
また、インシデント対応後に教訓を活かし改善策を実行することが、将来のインシデントに対する備えとなります。

このフェーズでやること
- 組織としてのインシデントレスポンス計画を策定し、訓練を行う。
- ログやモニタリング、通報といったインシデント検知手段と、インシデントレスポンス計画とを整合させる。
- 組織の特性に応じたインシデントのエスカレーション基準を定め、役割や権限を各メンバーに認識させる。
- 適切なインシデントレスポンスを行い、その経過を記録する。
- ステークホルダーおよびカスタマーとコミュニケーションし、信頼関係の維持に務める。
- レスポンス全体を見直し、将来の攻撃に備えて改善策を講じる。
さらに詳しい記事はこちら
当社のリスクマネジメントサービス
STEP.10
サプライチェーンセキュリティ
ーサプライヤーやサードパーティと連携するー
サプライチェーンに起因するサイバーリスクは増大を続けています。
サプライチェーンのセキュリティ向上は非常に困難な課題ですが、その最初の一歩は組織を取り巻くチェーンを精確に把握することです。

このフェーズでやること
- サプライチェーンを構成するサプライヤー、クラウド事業者等を把握し、各主体ごとにビジネス上・情報セキュリティ上の重要性を付与する。
- サプライヤー等のセキュリティ態勢を評価する。
- 契約・調達プロセスの中にセキュリティに対する評価・判断を含める。
- サプライチェーン全体のセキュリティ向上のため、支援や情報共有を行い、信頼強化を図る。
さらに詳しい記事はこちら
参考ソース
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)