ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

ここから本文です。

【QA】セキュリティ上のリスクの有無および対策の妥当性について確認する方法(一例)

セキュリティ上のリスクの有無および対策の妥当性について確認する方法

はじめに

現代のビジネスにおいて、インターネットを利用した業務運用は不可欠ですが、それと同時にサイバー攻撃の手口も日々巧妙化しています。自社のセキュリティ対策が十分であるか、あるいは現在の業務形態に潜むリスクを正しく把握できているかを確認することは、事業継続における最優先事項の一つです。

現状の安全性を客観的に評価し、対策の妥当性を判断するためには、場当たり的な対応ではなく、公的なフレームワークや標準的な指標に基づいた構造的なアプローチが求められます。

本文

業務運用の安全性を確認し、対策の妥当性を評価するための具体的な方法の例を3つのステップで解説します。

1. 公的なフレームワークを用いた自己診断

まず取り組むべきは、国内外で標準とされているガイドラインを活用した現状分析です。これにより、自社の対策レベルが標準に対してどの位置にあるかを可視化できます。

  • 情報セキュリティ対策ベンチマークの活用 独立行政法人情報処理推進機構(IPA)が提供しているツールを利用すると、組織の情報セキュリティ対策状況を25項目で診断し、他社と比較した自社の強みと弱みをレーダーチャートで把握できます。
  • サイバーセキュリティ経営ガイドラインの参照 経営者が認識すべき「3原則」と、情報セキュリティ担当者に指示すべき「重要10項目」がまとめられています。特に中小企業においては、技術的な対策だけでなく、組織としての体制整備(ガバナンス)が妥当であるかを確認する指標となります。
  • 最新フレームワークへの適合確認 「NIST サイバーセキュリティフレームワーク 2.0」などは、特定、防御、検知、対応、復旧に「ガバナンス」が加わり、より広範なリスク管理を推奨しています。これらの項目に沿って、自社の運用に漏れがないかを確認することが有効です。
  • 情報セキュリティ管理基準 経済産業省が策定した基準で、組織が情報セキュリティマネジメントを確立・実施するための具体的な管理策が示されています。日本のビジネス環境や法体系に適合しており、網羅的な点検を行う際に非常に有用なフレームワークです。

2. 技術的側面からの脆弱性診断

自己診断で組織的な不備を確認した後は、システム上の穴(脆弱性)を具体的に特定する必要があります。
  • プラットフォームおよびアプリケーション診断 インターネットに公開しているサーバーやウェブアプリケーションに、既知の脆弱性が残っていないかを専門のツールや外部業者を用いて調査します。
  • クラウド設定の再確認 近年、クラウドサービスの誤設定による情報漏えいが急増しています。多要素認証(MFA)が全アカウントに適用されているか、不要なポートが開放されていないか、アクセス権限(IAM)が最小権限の原則に基づいているかを点検します。

3. 対策の例:サプライチェーンとエンドポイントの評価

業務形態が多様化(テレワークや外部委託の活用)している場合、自社内だけでなく接続される環境全体を見渡す必要があります。
  • エンドポイントセキュリティ(EDR)の導入状況 PCやモバイル端末がインターネットに直接接続される環境では、従来のウイルス対策ソフトだけでなく、侵入後の動きを検知・対処するEDRが適切に機能しているかを確認します。
  • 委託先へのセキュリティ調査 業務の一部を外部に委託している場合、委託先のセキュリティ基準が自社の基準を満たしているか、定期的なアンケートや監査を通じて確認することが、サプライチェーン全体のリスク低減に繋がります。

まとめ

ネットを利用した業務運用の安全性を確認するには、「公的ガイドラインによる自己診断」「技術的な脆弱性診断」「サプライチェーン全体の点検」の3軸をバランスよく組み合わせることが重要です。 セキュリティ対策に「完成」はありません。事業環境の変化や新たな脅威の出現に合わせて、定期的にこれらの確認プロセスを回す(PDCAサイクル)ことで、対策の妥当性を維持し続けることができます。まずはIPAが提供するチェックリストや、経済産業省の管理基準など、身近な公的ツールから着手することをお勧めします。

引用文献名のリストとURL

本文ここまでです。

ページトップへ