忘れがちなセキュリティ対策の根本「経営者主体」

　サイバーセキュリティ経営ガイドライン（以下、ガイドライン）は、ISO/IEC 27001、ISMSといったサイバーセキュリティマネジメン標準がベースとなっている。いわば中小企業から大企業まで適用可能なISMSのサブセットである。ISMSの基本的な考え方は、まず経営者がセキュリティの基本理念を考え、基本方針を決め、リスクアセスメントを実施し、対策基準を定める。そして運用はPDCAで回す。ガイドラインもこれに準ずる形で企業経営者が考え、現場に展開させるべき項目、ポイントが記されている。

　セキュリティ認証としてのISMSは「管理手順と体制の整備を規定するだけで、実際にセキュアであるかの担保にはならない」と否定的に捉える意見もあるが、それを抜きにしても、ISMSではある重要なことを規定している。意外と認識していない企業や、実践できていない企業が多いかもしれないので、ここでリマインドしておきたい。

　そもそも、企業セキュリティは「経営者の発案により、その意思が反映されたポリシーを元に体制、対策方法が確定されるもの」ということだ。簡単にいえば、企業セキュリティはCISOやセキュリティ担当者が考えるのではなく、経営者が考えるものだ。もちろん、ポリシーや対策を考えるときにCISOや専門家と相談する必要、またCISO側からの支援・アドバイスの必要はあるが、主体はあくまで経営者だ。

　自分はセキュリティは分からないからと、CISOや企業内CSIRT、ましてや情シス担当者やベンダーに丸投げするのは、原理主義的に言えば経営者失格だ。現場からは「（何も知らない）社長には絶対セキュリティは任せられない」という声が聞こえそうだが、経営者の主体的関与がなければ、予算もつかないし、流行りのソリューションを導入して終わりになってしまう。いずれにせよ、最終的な責任は経営者になることを自覚させることも必要だ。

検知と復旧の方針から変える

　経営者の責任という部分では、今回のガイドラインでも変更はない。経営者が認識すべき3原則は維持されている。その上でガイドラインが述べているのは、検知と復旧の強化だ。

　近年の企業セキュリティは、侵入や攻撃の検知が弱いと言える。外部からの通報で被害や情報漏えいが発覚する事例が多いのは問題だとする。事前対応は従来からの入り口対策（FW、IDS/IPS）、エンドポイント対策（アンチウイルスなど）が担っている。事後対応もCSIRT構築などが進んでいるが、検知の対策が不十分（少なくとも旧ガイドラインでは明記がない）ではないか、とガイドラインは注意喚起する。

　復旧についても、一部ではレジリエンス（復元力）を重視したセキュリティ体制を作っているところもあるが、国内ではまだメジャーにはなっていない。BCPやDRのような災害に対する備えは進んでいるが、サイバーインシデントの際の対策、対応手順を整備しているところは少ない。危機管理センター（のようなしくみ）をすぐに組織できるだろうか。あるいは、アウトソースを含め、原因究明、フォレンジックス、マルウェア解析、さらにシステムの復旧作業をどのような体制で、どのような優先順位で実施するか、プランがありシミュレーションしている企業がどれだけあるだろうか。

　ガイドラインが述べているのは、もはや侵入前提での対応では不十分で、被害発生前提での対策が必要であるということだ。

　再編されたサプライチェーンセキュリティとは、ビジネスパートナー、子会社、委託先を含めたセキュリティ対策のこと。自社組織だけでなく、取引先や委託先のセキュリティ対策の状況、インシデント対応体制を把握する必要がある。委託先からデータが漏れたとき、その原因や状況が共有できなければ、正しい発表もできないし、二次被害の防止もおぼつかない。

　では、以上のような改訂ポイントに対して、具体的にどのような対策が考えられるだろうか。

【次ページ】 改訂ポイントへの具体的な対応・対策とは？