リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
当社はリスクマネジメントコンサルティングサービスをご提供する中で、お客様の経営戦略からリソースマネジメント、サプライチェーンまで、幅広く機微な情報をお預かりしています。それは設立以来培ってきたお客様との信頼関係の上に成り立っていることであり、その信頼を損なうデータ漏洩を含むセキュリティインシデントの防止は当社にとって、最重要課題の一つであると自負しております。
そこで、当社では、昨今益々脅威が高度化しているサイバー攻撃や情報漏洩の脅威に立ち向かうためのサイバーセキュリティに特化したNCiSIRTを組織しています。最新の情報セキュリティ対策の中から当社の事業内容・規模・リソースに最適な手法を見出し、外部とも積極的に連携しセキュリティ対応を発展させ、強化に努める専門チームです。
NCiSIRTはサイバー攻撃に限らず、内部不正も含めたあらゆるセキュリティインシデントを対象としています。
CSIRTの「C」にはコンピュータやセキュリティという意味がありますが、それではサイバー空間からの攻撃に限定する形となることから、敢えてCを除き、SIRTという名称を冠しました。
N=Newton、Network
C=Consulting、Cyber、Computing
i=Information
S=Security
I=Incident
R=Response
T=Team
サイバーセキュリティに加え、物理セキュリティも対象とする–––「NCiSIRT」の名称には、その姿勢を表す意味を込めています。
NCiSIRTの対象は、セキュリティ基本方針にも示しているとおり、以下の観点から範囲を特定しています。
以前、当社には情報セキュリティを担当するISMSチームと、ITシステムの運用・保守等を対応するITチームの2チームが存在していました。
しかしながら、両チームは密接に連携すべきであることから、両チームをCSIRTメンバーとして統合し、経営層の監督責任として、CISOが全体を管轄する責任者として任命する体制となっています。
また、NCiSIRTの体制に広報や法務を含んでいないのも理由があります。当社の企業風土として、密な情報連携が根付いており、重大インシデントは初期段階から広報や法務も含め情報が迅速に共有されます。そのためNCiSIRTはあくまで初動対応を迅速に行うことに専念し、経営にインパクトの大きい重大インシデントは、速やかに法務や広報も含めた全社的な有事体制である危機対策本部に引き継ぐことを危機対応方針としています。
最後にNCiSIRTが直接管轄としないITシステム群は都度システムオーナーを任命し、システムオーナーの責任のもと、セキュリティの維持に努めることとしています。
先に示した体制の対象者がその役割・責任において求められる適切なセキュリティの力量を身につけるために、セキュリティ研修、サイバー演習、標的型メール訓練、Eラーニングなどを行っています。
対象者 | 役割・責任 | 求める力量 | |
---|---|---|---|
経営陣 |
|
|
|
CISO |
|
|
|
NCiSIRT メンバー |
|
|
|
システム オーナー |
|
|
|
システム 利用者 |
|
|
セキュリティ基本方針に基づく運用として、平時、有事対応として、主に以下の活動を実践しています。
平時対応 | 有事対応 | |
---|---|---|
|
|
|
NCiSIRTは数年前からゼロトラストネットワークの構築とCSIRTの高度化対応としてのNIST SP800-171への準拠に取り組んでいます。
ゼロトラストネットワークは必要な場所から必要なデータにアクセスでき、必要でないデータにはアクセスできない、という手法です。
クラウドオンリーという方針のもと、コロナ以前から構築に着手しています。今ではセキュアかつ柔軟な働き方を実現するための源泉となっています。
ルール・プロセスを整備するとともに、EDR、CASB、SASE、IDaaS、SIEMなどの対策を数年がかりで段階的に導入する形でゼロトラストネットワーク環境を実現しました。今後はさらにオペレーションの自動化と遠隔運用保守環境を磨き上げ、NCiSIRTメンバーを含め、コンサルタントをはじめとする従業員が柔軟に働ける環境に貢献していきます。
もう一つの高度化への挑戦がNIST SP800-171への準拠です。 「171」のRevision2が示す14の分類は、以下のように大きく人的セキュリティ、技術的セキュリティ、物理的セキュリティに分けられ、バランスよくセキュリティの対応が求められています。
単純にセキュリティ・製品サービスを購入して準拠できるわけではなく、人的セキュリティの範疇であるスキルやルールの整備が必要です。
当社も取り組み始めた当初は「171」の14ファミリーに紐づく110のセキュリティ要件のうち、対応できていたのは7割適度でした。以降、数年をかけて段階的に投資やルール整備、教育等を行い、171の準拠を公表できるレベルに至りました。(2024年1月現在)
今後「171」も定期的に更新されていくことから、この準拠レベルを維持できるよう、NCiSIRTを中心に運用していきます。
当社がNCiSIRTを設立したのが2016年で、その対応内容も年々、サイバーセキュリティのトレンドに合わせ進化させてきました。
当初はISMSを主軸に据え、1年間の認証サイクルに合わせて活動していましたが、現在の活動はよりアジャイル的になっています。その理由がセキュリティの変化スピードです。
特にサイバーセキュリティのトレンドは変化が激しく、日々様々な企業がインシデント被害に遭っていることもあり、必要な投資などは年初に予算化はするものの、都度必要に応じて追加申請したり見直したりしています。
経営陣も予算ありきではなく、リスクありきでの判断を常とする意識となりました。
また重要なのがセキュリティの高度化です。
セキュリティの領域はプライバシーと密接につながり、AIをはじめとするDXとも深く連携し、さらに幅広いものとなっています。当社はセキュリティの対象領域を「守るべきデータがどこにあるか」という視点にシフトチェンジしました。守るべきデータを取り扱うのが派遣社員であろうが、海外のサプライチェーン組織であろうが責任を持って守る、という大前提のもと、NIST SP800-171への準拠活動に踏み切りました。
また、この考え方はゼロトラストネットワークとの親和性も高く、コロナ以前から取り組んでいた「ゼロトラストネットワーク構想」もようやく実現し、セキュリティの効果にようやく一定の答えが見出せたように思っています。
セキュリティを高度化したことで変わったかといえば、体制に大きな変更はありません。
ただし実効性には大きな効果があったと実感しています。それはNCiSIRT設立にあたり明確に以下の狙いを打ち出したためです。
当社は事業規模の拡大とともにお客様の重要な情報をお預かりする機会も飛躍的に増しています。
お客様はもちろん、取引先ともノウハウを積極的に共有し、一緒にセキュリティレベルを高めていきたい、そういう意図があります。
チーム一丸となって、柔軟に、妥協せず、本気で取り組む。
当社の仕組みなどもご興味があれば、積極的に開示します。ご興味のある方はぜひご連絡下さい。情報交換して一緒に真に役立つCSIRTを作り上げていきましょう。
2024年1月