問診票形式で状況を把握、「『やられたかな？ その前に』ガイド」をISOG-Jが公開：セキュリティ専門家にスムーズに相談するために

　日本セキュリティオペレーション事業者協議会（ISOG-J）の「あさまでSOCプロジェクト」は2015年10月14日、「『やられたかな？ その前に』ガイド」と題するドキュメントを公開した。サイバー攻撃に対する不安が高まっていることを受け、自社のセキュリティ状態を簡単にセルフチェックできる「問診票」として利用してもらうことを狙っている。

　標的型攻撃をはじめとするサイバー攻撃の被害が拡大していることを背景に、セキュリティ監視を行ったり、インシデントに迅速に対応できる組織や仕組みの整備に取り組む企業が増えてきた。しかしそれが可能なのは、相応の予算と人員を用意できる大企業に限られがちだ。

　大半の中堅中小企業では、「うちは大丈夫か？」とトップダウンで指令が下ってきた場合、「対策を取らなければならないことは分かっていても、具体的にどうすべきは分からない」と、システムインテグレーターやセキュリティ専門家に相談するケースが多いと思われる。

　だがここで問題になるのが、どのようにして共通の言葉でコミュニケーションを取るかだ。システムやセキュリティに関する事柄を担当者が正確に理解し、説明するのは難しい。一方専門家の側も、きちんと状況を伝えてもらわないことには、適切にアドバイスしたくとも困難だ。

　「『やられたかな？ その前に』ガイド」は、こうした「もやもや」を解消することを目指し、作成されたものだ。システムの症状と普段の管理状況、社内の組織体制、情報処理推進機構の「10大脅威 2015」で示された「セキュリティ対策の基本」をどの程度実施しているかを確認する問診票を分かる範囲で記述することで、社内の状況や相談内容を明らかにし、セキュリティ事業者への問い合わせや相談をスムーズに進められるよう支援する。

　ISOG-Jによると、このガイドは、普段から行っておくべきセキュリティ対策を示すものともなる。問診票を使って自社の状況を把握するとともに、普段からセキュリティについて相談できる「かかりつけ医」のような存在を得ておくことによって、万一セキュリティ事故が発生した際にも迅速な対処が可能になるとしている。

　「『やられたかな？ その前に』ガイド」は、解説とセットになったPDF版と、問診票のみのWord版が公開されている。