英国の認証制度を活用、手頃な価格で始めるサイバーセキュリティ対策~IASME Cyber Baseline と IASME Cyber Assurance~

掲載:2024年06月11日

執筆者:チーフコンサルタント 川﨑 優雅

コラム

サイバー攻撃は、以前は資金力のある大企業が中心に狙われていましたが、近年は大企業を狙う起点として、そのサプライチェーンを構成する中小企業もサイバー攻撃の脅威にさらされるようになっています。
そのため、中小企業もサイバーセキュリティ対策がより強く求められるようになってきていますが、資金力や人手不足等の理由から、セキュリティ対策の実効力・成熟度の向上や認証取得は難しいのも事実です。セキュリティに関連する認証というとISO27001を連想する方も多いかもしれませんが、ISO27001を取得し、維持するには、それなりのリソースを要します。
また他にも、PCI DSSやCSMS等がありますが、それぞれクレジットカード業界や産業用オートメーション及び制御システムの利用組織というようにそれらの認証を活用できる組織が限られてしまいます。
そんな中、英国では、リソースの不足しがちな中小企業に適した、現実的であり、柔軟で手頃なセキュリティ認証を提供しています。
英国内はもちろん、英国外の中小企業向けに特化したセキュリティフレームワークや認証プログラムも提供しており、今回はその詳細について、わかりやすくご紹介します。

         

IASMEとは

英国を拠点とする組織であるIASME(Information Assurance for Small and Medium Enterprises)は、英国政府の資金提供を受けて、2012年に基本的なサイバーセキュリティはすべての組織とそのサプライチェーンにとって不可欠な要件であるという原則に基づいて設立されました。

IASMEは、世界中の専門家組織のネットワークと協力し、サイバーセキュリティと不正対策の両方において、あらゆる規模の組織への助言と認証を支援しています。また、効果的で利用しやすいさまざまな認証を通じて、企業のサイバーセキュリティ、リスク管理、優れたガバナンスの向上を支援することに尽力しています。そんなIASMEは、現在以下のような6種類の認定資格を提供し、あらゆる分野の組織に提供しています。

各認定資格 説明
IASME Cyber Baseline 英国以外の登録企業向けに特別に設計されたリスクベースの情報セキュリティ認証です。
IASME Cyber Assurance 組織が重要なサイバーセキュリティ、プライバシー、データ保護の対策を導入していることを保証します。以前は、IASME Governanceとして知られており、包括的で柔軟かつ手頃なサイバーセキュリティ規格です。
Cyber Essentials 最も一般的なインターネットベースのサイバー攻撃 の脅威から保護するために設計された5つの技術的制御に焦点を当てた英国政府の効果的なスキームです。
Maritime Cyber Baseline すべての商業船舶のサイバーセキュリティを認証するように設計されており、世界中のあらゆる規模の事業者や船舶が利用できます。
IASME IoT Cyber Scheme IoTセキュリティの主要なグローバル技術標準であるETSI EN 303 645で規定されているベストプラクティスのセキュリティへのコミットメントを証明します。
Civil Aviation Authority Assure 航空業界ではよく知られた民間サプライヤーを活用し、最新の知識と豊富な経験をもって独立した検証を実施します。

 

上記のうち、Cyber Essentialsについては別記事で解説しております。
このページでは、6種類ある認定制度のうち、特に今後重要性が高まっていくと考えられるIASME Cyber Baseline、IASME Cyber Assuranceについてご説明します。

IASME Cyber Baselineとは

IASME Cyber Baseline は、英国以外の登録企業向けに特別に設計されたリスクベースの情報セキュリティ認証です。この認証は純粋に英国外で登録された企業を対象としているため、英国で登録された企業はこの認証の取得対象外となります。

英国を拠点としない企業にとって非常に有用と言える認証となっていますが、なぜ有用と言えるのでしょうか。 その理由として、IASME Cyber Baseline基準は、リスクベースのフレームワークであり、基本的なサイバーセキュリティ対策だけでなく、通常は考慮されないものの、それでも重要なサイバーセキュリティ保護対策にも取り組むように設計されている点が挙げられます。

この認証では、資産とリスク管理、インシデント管理、ビジネス内の情報セキュリティを中心としたIASME標準のうち、基本的な8つのテーマに沿ったサイバーセキュリティ対策を講じることができます。

IASME Cyber Baselineは、多くの組織にとってサイバーセキュリティに真剣に取り組んでいることを証明するための重要な第一歩であり、後述するIASME Cyber Assuranceを認証する前提条件にもなります。

IASME Cyber Baselineの取得の流れとメリット

では、どのようなステップでIASME Cyber Baselineを取得するのでしょうか。

13のテーマで構成されるIASME標準のうち、指定された8つのテーマに沿ってサイバーセキュリティ対策を講じる必要があります。その具体的なテーマは以下の通りです。

テーマ 概要
組織 サプライヤー、請負業者、パートナーが誰であるかを把握し、彼らがどのようなサイバーセキュリティ対策を実施しているかを理解します。
資産 組織が保有するサーバーやデバイス、ソフトウェアといったIT資産がCyber Baselineの要件を満たしているか、定期的な見直しを行うことが重要です。
セキュアなアーキテクチャ さまざまなコンポーネントを保護するためには、システムがどのように連携し、どのように構成されているか、セキュアな設定がなされているかを理解します。
従業員がサイバーセキュリティポリシーとプロセスを理解し、システムやデータを安全に保つために何をすべきかを知っていることを確認します。
アクセス管理 職務を遂行するのに十分なアクセス権を持ち、データ漏洩やマルウェア攻撃につながりかねない過剰なアクセス権を持たないことが重要です。
技術的防御 システムやデータをどのように保護しているか、Cyber Baselineのセキュリティ基準を満たす技術的設定の概要について理解します。
バックアップと復元 データとシステムを定期的にバックアップし、復元できるようにしておくことが重要です。
レジリエンス 事業継続、インシデント管理、災害復旧に必要な体制を作ります。

 

IASME Cyber BaselineはIASMEのオンラインポータルを通じて一連の質問に答え自己評価を実施します。設問は70問ほどあり、IASME Webサイトから基準と自己評価の質問をダウンロードできます。
(URL:https://iasme.co.uk/iasme-cyber-baseline/free-download-of-iasme-cyber-baseline-questions/

その自己評価結果が査定者によって採点され、フィードバックとともに、アセスメントの合否が決定されます。認定証の有効期限は1年間であり、再認定には年1回の再審査が必要となります。

この規格を実施し認証を取得することで、情報の安全性とセキュリティを確保し、ビジネスに対するリスクを特定することが可能となり、情報セキュリティに基づくフレームワークを実施する能力を証明することになります。また、これは自社のみならず、顧客、サプライヤー、パートナーに対しても、情報セキュリティに意欲的であると示すことができます。

さらには、IASME Cyber Baselineに対応することで、 COBIT、CIS Controls v8等といった、組織がグローバルなサイバーセキュリティフレームワークに準拠していることにもつながります。

費用は組織の規模によって異なりますが、最低390ドルから認証を取得できます。

IASME Cyber Assuranceとは

続いて、IASME Cyber Assurance について紹介します。こちらは組織が重要なサイバーセキュリティ、プライバシー、データ保護の対策を導入していることを保証する認証制度です。以前はIASME Governanceとして知られており、包括的で柔軟かつ手頃なサイバーセキュリティ規格といえます。

IASME Cyber Assuranceは、元々、国際規格ISO/IEC 27001(情報セキュリティマネジメントシステム)に対応しており、2017年には組織がEU一般データ保護規則(GDPR)に準拠できるように、質問が追加されています。

IASME Cyber Assurance取得にあたって、前提として有効なCyber Baselineまたは Cyber Essentialsどちらかの証明書を保持している必要があります。また、レベル1(検証)とレベル2(監査)の2つのレベルがあり、レベル2の審査にあたってはレベル1の認証が完了している必要があります。

現在、英国司法省やジャージー政府など、英国および国際的な幅広い産業部門が、他の国際規格に代わるものとして、レベル2の監査を受けたIASME Cyber Assuranceの認証を受け入れています。

IASME Cyber Assuranceの取得の流れとメリット

では、どのようにIASME Cyber Assuranceを取得するのでしょうか。
前述のIASME Cyber Baselineの8つのテーマに加え、以下の5つが追加されます。

テーマ 概要
計画 すべてのビジネス活動に適切な規模のセキュリティを組み込むために必要なこと、人やシステムを含むビジネス活動での変更がセキュリティに与える影響を考慮して計画を立てることが重要です。
法的および規制の状況 法的強制力のある義務やセクター固有の義務が何であるかを認識し、責任を確実に果たす必要があります。
物理的および環境的保護 盗難、紛失、損傷を防ぐために必要な物理的保護や、特定の機器を安全に動作させるために、必要に応じて温度や湿度などの環境条件を制御することが必要です。
ポリシー実現 包括的でありながら、「適切な規模」である必要があります。
安全な事業運営
(監視、見直し、変更管理)
セキュリティ活動を「通常通り」の方法で実行することが重要です。

 

IASME Cyber Baselineと同様に、IASMEのオンラインポータルを通じて一連の質問に答え自己評価を実施します。設問は140問ほどあり、IASME Webサイトから基準と自己評価の質問をダウンロードできます。
(URL:https://iasme.co.uk/iasme-cyber-assurance/free-download-of-iasme-self-assessment-questions/

レベル1の認証は、前述の通りオンラインポータルを使用したIASME Cyber Assurance自己評価です。その内容を査定者によって採点され、フィードバックとともに、アセスメントの合否が決定されます。

レベル2の認証では、査定者は申請に応じて組織の監査を実施し、文書確認、主要スタッフへのインタビュー、活動の観察等を実施します。この監査は対面でも、ビデオ通話などの遠隔でも受けることが可能です。

レベル2の審査結果は、承認する前に指摘された問題点を解決できるよう共有することが可能であり、審査結果が承認された後、組織がどの程度基準を満たしているかによって合否が決まります。

この規格の認証を受けると、保管・管理される情報が、ほとんどの実用的な目的に対して妥当なレベルまで保護されていることを、顧客・取引先やサプライチェーンなどに保証することができます。特に政府のサプライチェーン内のサプライヤーには、競争優位性をもたらすといえるでしょう。

レベル1の費用は、組織の規模によって異なりますが、420ドルから認証を取得できます。レベル2ではネットワークの規模、複雑さによって費用が異なるため、フォームを提出後にIASMEより見積もりを受領して決定します。

今後の展望

サプライチェーンへのより強固なサイバーセキュリティの要求、グローバル市場で競争激化といった世の中の流れがあります。中小企業にとっても、そういった流れに対応しやすい柔軟さやコストを兼ね備えているIASMEの認証規格は、今後ますます重要性が高まるでしょう。

認証制度はとかく外部からのお墨付きを得ることが目的になりがちですが、そこで要求される事項は今の時代に遵守しておくべき模範が示されており、サイバーセキュリティの実行力、成熟度を向上させる道しるべとして積極的に活用することが望ましいです。

IASME認証を取得して、顧客やステークホルダーへサイバーセキュリティの取組みをアピールしてみませんか。