2023.11.21
第4回 さらなるステップへ/シリーズ②いまさら聞けないサイバーセキュリティの基本 ~対策の本質を理解する~
サイバーセキュリティは、今となっては特別な言葉ではありません。毎日のように、いろいろなメディアで目にします。きっと皆さんも、サイバーセキュリティの大まかなイメージはつくはずです。しかしながら、「サイバーセキュリティとは何か?」説明を求められると、答えに困りませんか・・・
本コラムでは、あらためてサイバーセキュリティの基本を振り返りながら、計4回にわたってセキュリティ対策の本質への理解を深めていきます。
INDEX
第4回)さらなるステップへ
本テーマの最終回(第4回)では、サイバーセキュリティの基本に続く応用(さらなるステップ)に向け、国際標準の活用を説明します。国際標準について、皆さん非常に難解なイメージを持たれているのではないでしょうか。正直なところ、とてもわかりやすい読み物ではありません。
ただ、物は使いようと言いますか、その特徴を理解すれば、実は多くの企業で利用する価値があります。標準(スタンダード)というだけあって、企業規模の大小や業種業態を問わず、いろいろな会社に広く活用できるのです。
そうした、ちょっと扱いにくそうな国際標準ですが、皆さんに少しでも興味を持っていただけるよう、いくつかポイントを紹介します。
国際標準を知る
デファクトスタンダードという言葉を聞いたことがありますか? 市場競争の中で定着した「事実上の標準」のことです。たとえば、業務用PCのOSであるWindowsや検索エンジンのGoogleなどです。これに対して、国際標準化団体などが内容を取りまとめ、各国の同意を得た「公式な標準」が、デジュールスタンダードです。国際標準は、このデジュールスタンダードに当たります。
そして、世の中にはいろいろな国際標準化団体が存在します。その中でも、一番目にすることが多いのは、略称で「ISO(アイエスオー)」と呼ばれる国際標準化機構(International Organization for Standardization)だと思われます。
たとえば、企業のホームページや会社紹介のパンフレットなどで、「ISO 9001認証取得」といった記載があったりします。ISOに続く数字は規格番号のことで、9001は企業の製品やサービスの品質管理に関する国際標準を示します。ISOでは、工業製品・技術・食品安全・農業・医療などの幅広い分野で、数多く(約2万)の標準(規格)を策定しています。
もちろん、情報セキュリティやサイバーセキュリティについても、ISOの国際標準がいくつか存在します。その中でも、(デジュールスタンダードなのですが)デファクトスタンダードのように活用されているのが、ISO/IEC 27001(情報セキュリティ、サイバーセキュリティ及びプライバシー保護)です。「/IEC(アイイーシー)」の表記は、国際電気標準会議(International Electrotechnical Commission)という別団体との共同規格を表します。
ISO/IEC 27001は、ISMS(Information Security Management System)の略称で呼ばれ、情報セキュリティ管理と対策の拠り所として広く用いられています。今では、「情報セキュリティといえばISMS」といったイメージが、形成されているのです。
その活用方法は
ISMSは、多くの企業で自社の情報セキュリティ管理と対策を行う際に、参考書のように活用されています。自社の情報セキュリティに関する社内規程を考える上で、広く参照されているのです。
ISMS(2022年版)には、附属書Aという部分に93項目の「情報セキュリティ管理策」が載っています。管理策とは、わかりやすく言えば、対策の基本的な要件です。たとえば、マルウェア対策に関するルールを考える際には、「マルウェアに対する保護(箇条8.7)」の内容をベースにするわけです。
ただ、ここで国際標準の特徴をよく理解しておかないと、いったいこれをどのように活かせばいいのか、よくわからない状況に陥ります。
国際標準の内容は、世の中で広く用いることができるよう、原則主義(原理原則)で規定されています。具体的に細かな事項が決められている細則主義とは異なり、より上位の概念で内容を抽象化し、簡潔な文章でまとめられています(著作権の関係から、ここに実際の文章を載せることは控えます)。
しかしながら、それを一読すると、何かふわふわして捉えどころがないようにも感じます。結局のところ、何をどうすればいいのか、はっきりとしないのです。この原則主義が、逆に国際標準を難しくさせています。
細則主義による文章は、かなり長文で読みづらい感じがあるものの、箸の上げ下げまで細かく定められているため、実施すべきことは明確に限定されます。ですが、そうして細部まで狭く定められると、広く活用することが難しくなります。特に中小企業や特定の業種業態では、実施できない例外等がいろいろ出てくるからです。
これに対して、国際標準では原則主義により、「大枠は決めておきましたから、それに従って細かな点をどうするかは、自ら適切に決めてください。」といったスタンスです。具体的にどうするかは、国際標準を利用する側に裁量が委ねられています。
こうしたことから、国際標準を活用するには、まず原理原則(大枠)の内容を理解し、それを自社に適した詳細内容へと具体化する必要があります。そのためには、詳細内容が大枠に外れないよう、大枠が本来持つ意味をどのように捉えるか(大枠の本質をどう解釈するか)がポイントです。
そこに難しさがあれば、外部の専門家(セキュリティコンサルタント等)からサポートを受けるのも、一つの手段です。
活用のメリット
国際標準であるISMSを活用すると、いったいどんなメリットがあるのでしょう? ここでは、次の3つをとりあげます。
- 抜け漏れの少ない情報セキュリティ管理や対策の実施
- ISMSは、企業を取り巻く全般的な情報セキュリティリスクを想定し、体系だった構成でまとめられています。ISMSで規定される管理策(93項目)に対処することで、網羅的なセキュリティ対策につながります。
- 組織体制の強化(継続的な改善の促進)
- ISMSには、情報セキュリティを管理する上での、組織的な体制の整備が求められています。セキュリティ委員会や推進チーム、セキュリティ管理者や担当者などの役割・責任を定めます。そして、リスクアセスメントや内部監査、インシデント対応などにより、情報セキュリティ管理や対策の実施状況を評価します。それら一連の活動により、継続的な改善(PDCAサイクル)が図れます。
- 適切な情報セキュリティへの取り組みをアピール
- ISMSに沿うことは、一定の水準(国際標準が求める基準)により、情報セキュリティ管理と対策が行われていることを意味します。さらに、ISMS認証を取得すれば、独立性・中立性を持つ第三者機関(審査機関)から、ISMSに適合することへのお墨付きが得られます。
外部のステークホルダー(株主や取引先など)に対して、ガバナンスの強化をアピールできるはずです。
おわりに
「いまさら聞けないサイバーセキュリティの基本」と題し、計4回にわたって説明をしました。今一度、サイバーセキュリティ対策の本質について、振り返っていただけたでしょうか。 次回からは、新たなテーマが始まります。どうぞご期待ください。
1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。
シリーズ②いまさら聞けないサイバーセキュリティの基本
~対策の本質を理解する~
セキュリティブログ一覧へ
関連トピックス
-
ニュースリリース
2024.11.20
株式会社RITがAI技術活用の自動仕様書作成サービス「SPG-R」デモ動画を公開
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一)のグループ企業である株式会社RIT(本社:東京都中央区、代表取締役社長:安武遼太)は、レガシーシステムのブラックボックス化や、…
-
ニュースリリース
2024.11.13
生成AIモデルにGemini・Claude追加、新方式でRAG回答品質向上 【STiV新機能】
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)が提供するAI活用プラットフォーム「STiV(スティーブ)」は、生成AIのビジネス利用最適化を目指し、新…
-
お知らせ
2024.11.6
株式会社アペックスのコーポレートサイトリニューアル
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)のグループ企業である株式会社アペックス(本社: 東京都豊島区、代表取締役社長: 小鹿光雄、以下「アペックス」…
ファンリードに
お気軽にお問合せください。
サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。