- TOP
- ソリューション
- セキュリティインシデント対応ソリューション
企業活動における情報セキュリティの課題
あなたの企業では、世の中の変化に対応した充分な情報セキュリティ対策を行い、重大な事件を防ぐ一翼を担えていると胸をはることができるでしょうか。 企業で利用するPCが当たり前のようにネットワークに接続して利用されるようになり、今やインターネットとクラウドサービスは業務になくてはならないものとなりました。またこれまでセキュリティ対策を講じた企業内でしか使わなかったPCを、テレワークの推奨にともなって自宅などの社外のネットワーク環境に接続して利用することも珍しくなくなってきました。
スマートフォン、タブレット端末の業務利用も進み、PCと組み合わせた利用シーンが広がるにつれて、従業員が使うデバイスが様々なネットワーク環境へ接続し、クラウドサービスや企業内のサーバへ保管された情報へアクセスするようになります。必然的に機器の設定やシステム構成上の不備、情報セキュリティ対策不足、といった原因による情報漏えい事故や不正アクセス事件が増えてきています。
情報漏えいが発生すると、漏えいした情報を使った新たなサイバー犯罪の発生につながります。たとえばあるWebサイトへアクセスするIDとパスワードなどの認証情報が漏えいすると、その認証情報が闇のマーケットで売買され、金融機関のサイトなどで不正アクセスを試みるために利用されることがあります。
情報セキュリティ管理者の不安
ひとたび情報漏えい事故が発生すると、企業には多くの不利益が発生します。通常業務以外の突発的な社内業務が増え、影響を受けた社外の相手に説明の必要が生じます。 企業内では一つ一つの事故を防ぐためのパッチワーク的な対策に追われて根本的な対策ができないことも多いでしょう。根本的な対策への予算がつかないケースもあります。根本的な対策自体が考えつかないかもしれません。そもそも事故対応に慣れておらず、どう対応したらよいかわからないということもありえます。
企業は社会的な責任を負っています。事故の大きさによっては経営者自らが会見等を通じて説明をする必要が生じます。何気なく発した言葉が本来伝えたかった意味とは異なった意味合いでインターネット上に拡散され、企業イメージに傷をつけた例もあります。事故について何をどういう表現で説明するかを充分検討することが必要です。
課題解決への道筋
「情報セキュリティ対策が大事なことはわかるのだけれど、どうしたらよいかわからない」と、最初に着手すべき対策を絞り込めないということはないでしょうか。 情報セキュリティ対策は、全体的に対策レベルをある水準以上に維持することが重要です。全体的な水準よりも低い対策項目があれば、その対策を重点的に強化します。対策には大きく2つのアプローチがあります。
(1)事故対応から始める
事故の発生は嬉しくないことですが、企業内の情報セキュリティ対策の脆さに気づかせてくれますので、対策を始めるきっかけとしては有効です。ひとたび事故が発生すると、企業には次のような対応が必要になります。
- 事故により発生した事実の収集
- 発生原因と漏えい情報や影響範囲の調査
- 緊急対応
- 本質的な原因究明と恒久対策
- 内部監査による実施状況の確認
社会に与える影響が大きいとき、上記に加えて以下のような対応が必要になります。
- 記者会見等を通じた社会への説明、Q&A対応
- 客観的に対策を評価できる第三者機関の設置
- 外部監査を活用した対策の有効性確認
(2)現状調査やリスクアセスメントから始める
上場企業などの社会的な責任が大きい企業では、利害関係者への説明責任、コンプライアンスや組織統制上の観点から情報セキュリティに取り組むというアプローチもあります。そういった場合は、企業内の現状調査やリスクアセスメント(リスク評価)から弱みを発見して対策します。この場合は次のように対応します。
- 現状調査
- リスクアセスメント
- 目的を設定する
- リスクアセスメントの結果と目的から対策の優先順位を決める
- 対策を実施する
- 内部監査による対策実施状況の確認
- 課題の洗い出し、新たなリスクに対する評価
課題解決を行う人材の選定
これらのような事故対応や恒常的な対策を進めるにあたって重要になるのが人材です。少なくとも次のような人材が企業内に必要ですが、あなたの企業では集めることができるでしょうか。
- 社内の関係者を束ね指揮をとる人材
- リスクアセスメントや課題管理、事故対応を実行できる人材
- セキュリティ機器や各デバイスの設定を決め構築ができる人材
- 実装したシステムを日々監視し運用するための人材
- 定めたとおりに運用しているかを内部監査できる人材
多くの企業では配置転換か採用により情報セキュリティ業務を行うよう任命することになりますが、新たにチームを編成する場合は社内にノウハウがなく、何からどう手を付けたらよいのかがわからないため、学習や試行錯誤に費やす期間が必要になります。社内の様々な部署に動いてもらう場面も多くあり、大学等で情報セキュリティを学んでいたとしても企業の実務の実際を知らないと、効果的な対策へ導くことは困難です。 その一方で情報セキュリティ対策の必要性に迫られた時にはあまり猶予がありません。特にすでに事故が起きている場合、可能な限り早く緊急措置として対策をする必要があります。
ディアイティが提供できること
ディアイティが最も得意とする分野は情報セキュリティ事故への対応です。事故の発生直後から事故対応完了後の根本的な対策支援まで、デジタル・フォレンジック・プロフェッショナル(CDFP)、公認情報セキュリティマネージャー(CISM)、CISSP、情報処理安全確保支援士(RISS)、公認情報セキュリティ監査人(CAIS-Auditor)等の資格を持つ経験豊富なプロフェッショナルが対応します。また事故対応以外であっても企業の情報セキュリティ活動の全てのフェーズにおいて支援する体制が整っており、情報セキュリティ対策において企業が直面するあらゆる課題への支援が可能です。
- 現状調査
- 情報セキュリティ現状調査
- リスクアセスメント
- 企画設計
- ISMS構築相談
- 情報セキュリティ規程文書策定支援
- JIS Q 27001認証取得支援
- CSIRT構築・運用支援
- 対策実地
- 教育・研修
- システム導入、運用体制構築支援サービス
- 運用
- サイバー情報パトロール
- マネージドEDRサービス(CSIRT Cloud with CrowdStrike)
- ログ解析
- セキュリティ担当者支援
- 経営戦略(ガバナンス/マネジメント)
- セキュリティアドバイザー/CISO支援
- 情報セキュリティ委員会事務局支援
発生した事故への対応
サイバー攻撃や、ウイルス感染、不正アクセス、内部不正、設定ミス等から発生した情報漏えい事故や脅迫事件における痕跡を見つけ出し、不正アクセス元の特定、ウイルス感染状況、漏えい情報の特定などを行い、インシデントの全体像を解明します。また情報流出の阻止、拡散防止、インシデントを終息させる方策の提供、原因究明、再発防止策等、情報セキュリティインシデント対応にまつわるプロフェッショナルなサービスを提供します。
事故発生時の初期対応
情報漏えいの元となったPCやサーバの記憶装置ディスクから不正アクセスや情報漏えいの痕跡を調査するフォレンジック、経路上にあるネットワーク機器等も含めた関係する機器のログを収集・分析して調査するログ解析、漏えいした情報がインターネット上に拡散されていないかを確認するサイバー情報パトロール等を提供します。
- フォレンジックサービス
- ログ解析サービス
- サイバー情報パトロールサービス
フォレンジックサービスフロー
- 事案確認、証拠品選定、トリアージ
- ・どのような事象が発生したか?何を目的として調査を行うか?
- ・何を証拠品とし、どの証拠品を優先して調査するか?
- 証拠品(PC、外部媒体、ログ)の押収
- ・インシデント、事案に関連する証拠品の確認、速やかな確保を実施
- ・内部不正調査の場合は、対象者に気づかれないように配慮
- 証拠保全(ディスク複製、イメージ作成)
- ・調査による証拠品の破損、改変を防ぐための必須作業
- ・証拠品原本との同一性を担保するために、データ比較やハッシュ検証を実施
- ディスク、イメージの解析
- ・データの復元、イベントログ、メタデータ、ブラウザ履歴、メールデータの抽出、タイムライン生成、etc.
- ・復元、抽出した情報の解析、証拠の収集
- 調査結果報告書の作成、報告
- ・調査概要、証拠品の保全情報、収集した証拠を報告書としてまとめる
- ・調査結果の報告を実施
- データ抹消
- ・案件終了後、保全した証拠品複製物、解析情報等を抹消
サイバー情報パトロール
初期対応後の対策支援
初期対応後の本質的な原因究明や再発防止策の策定を支援します。影響が広範囲に及ぶ場合は、情報公開の方法や専門チームを束ねたインシデントハンドリング、第三者委員会やコールセンターの立ち上げ、Q&A作成等の支援を行います。
- ログ解析サービス
- サイバー情報パトロールサービス
- 危機管理コンサルティングサービス
- エンドポイント監視サービス
- リスクアセスメント支援サービス、情報セキュリティ監査サービス等各種コンサルティング
事故を未然に防ぐための支援
稼働しているシステムや構築したシステムに脆弱性が存在していないかを確認するための脆弱性診断サービスを、Webアプリケーションやプラットフォームに対して提供します。また情報セキュリティ管理やシステムの運用が規程通りに行えているかを文書や記録と実地で確認する情報セキュリティ監査サービスを提供します。
事故対応だけではなく、企業として社会やステークホルダーへの説明責任を果たす目的や、企業統治上求められる情報セキュリティ管理、個人情報の管理等をヌケモレなく行いたいといった目的のために情報セキュリティ体制を構築したいといった要望にも対応しています。現状の情報セキュリティ管理状況を把握する現状調査やリスクアセスメント、情報セキュリティポリシーの策定、各種ガイドラインへの適合評価、ISMSの体制構築やその認証規格であるJISQ 27001等の取得、教育、CISOや情報セキュリティ運用を行う事務局担当者への支援等を提供します。
- 脆弱性診断サービス、ペネトレーションテスト
- 情報セキュリティ監査サービス
- 現状調査サービス、リスクアセスメント支援サービス
- 情報セキュリティ文書策定支援サービス
- セキュリティアドバイザー、認証取得支援