連載
» 2017年03月27日 05時00分 公開

中堅・中小企業向け、標的型攻撃対策の現実解(2):セキュリティ対策、中堅・中小企業向け「簡易リスク分析」のススメ (2/2)

[内海良(ニュートン・コンサルティング),@IT]
前のページへ 1|2       

最も簡易で効果的なリスク分析のススメ

 実は、リスク分析は90分程度のワークショップで実施可能だ。しかしそれには下記の3つの前提条件が付く。

  1. 必要な人物の参加
  2. しっかりした事前準備
  3. 力量のあるファシリテーター(事務局)の存在

 これらがそろえば、以下のような形で進められる。

 まずは、事務局が参加する人物の日程調整を行うことから始める。このとき、経営者と各部門のキーマネジャー、IT部門の現場担当者が必須であり、一人でも欠ければ短時間で効果的にリスク分析をすることはできない。極めて重要なポイントである。

 その後、事務局は過去に自社が起こしたセキュリティ事故、他社の事故事例、最新のサイバー攻撃のトレンドなどを取りまとめる。筆者の経験上、自社のセキュリティ事故を把握しているケースは思いの外少なく、事故発生時、誰がどのように対応したのかを共有することは非常に効果が高い。この取りまとめた資料はワークショップ前に経営者にもぜひ共有しておこう。

 ここまでが事前準備であり、後はワークショップを執り行う。短時間でワークショップを満足いく形で終わらせるには、ファシリテーターの合意形成を引き出す力、業務知識、そしてサイバーに関する知識が欠かせない。難しければ外部に依頼することも検討するとよいだろう。

 続いてワークショップの進め方だが、用意するものとしては模造紙、付せん、マーカーペン、事前に取りまとめた事故事例の資料などがあればよい。初めは経営者があらためて経営目標を説明する。次に、事務局が取りまとめた事故事例や近年のサイバー攻撃のトレンドなどを紹介し、本格的なリスク分析に入る。具体的には以下のようにファシリテーターがガイドする形で、付せんなどを有効活用しつつ、進めるとよい。

 精緻に分析するよりも、あくまで経営の中心メンバーで合意形成を図ることを主目的として、皆で現状の課題と対策を短時間で認識できるこの進め方が効果的なことが、筆者の経験上は多い。1回のワークショップで具体的に誰がいつまでに対策を実施するのかまで決定できれば理想的だが、それが難しい場合は、事務局が時間をおかずにワークショップの結果を文書に取りまとめ、後日再度同様のメンバーが集まり、対策の実施責任者や期限を決めるとよい。特に、技術的な対策はすぐに決まらないことも多い。特別な知識が必要な上、出口対策やエンドポイントなど実施すべき対策が多数存在するためだ。ここはITの現場担当者が一度検討して、再度メンバーが集まった際に提案するのがよいだろう。

技術的な対策は何をどこまで実装すればよいか

 では、技術的な対策はどこまでやればよいのだろうか。これはサイバーセキュリティ経営ガイドラインの付録Bがヒントとなる。この付録では、これまで多くの中堅・中小企業も実施してきているであろう、アンチウイルスやファイアウォールの導入に加え、標的型攻撃対策としてさらなる対策が必要とされている。図示すると以下のような形となる。

 これらの技術的対策が、中堅・中小企業にとっては1つの指標(ベースライン)となるだろう。また、外部組織と連携するという考え方もガイドラインでは多く示されている。例えば情報入手ということであれば、IPAやJPCERT/CC、J-CSIPなどからの情報の活用などが明記されている。リソースが限られることの多い中堅・中小企業にとっては参考になる点だろう。

 また、具体的にどのセキュリティ製品を導入すべきかという点も、世の中に数多くの製品が存在するため、現場担当者が頭を悩ませているところである。これについては次回以降でガイドラインに合わせ、具体的なセキュリティ製品の特徴など紹介していくこととする。

著者プロフィール

内海 良(うちみ りょう)

ニュートン・コンサルティング株式会社 プリンシパルコンサルタント(https://www.newton-consulting.co.jp/

ベースラインAPT対策コンソーシアム(BAPT)のセキュリティコンサルティング支援メンバー。

リスク診断、CSIRT構築支援、サイバー演習支援、標的型メール訓練などを提供。オーストラリア留学後、日本でのプログラマー、SE経験を経て2004年に渡英。グループ会社である英国法人NEWTON ITにてSE部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネジャーを歴任。欧州を舞台にITガバナンス、情報セキュリティ、BCPの策定をはじめ、数多くのシステムインテグレーション、ペネトレーションテストなどのプロジェクトをこなす。

2010年より現職。以降、数多くの民間企業の支援をする傍ら、事業部長として官公庁とのプロジェクト実績を積み重ね、近年は金融機関を中心に支援。顧客の本質を理解し、ゴールまで遵進することを基本姿勢としている。

JIPDEC(日本情報処理開発協会) BCMS技術専門部会委員。

CISSP、AMBCI、LPT(Licensed Penetration Tester)、ECSA(EC-Council Security Analyst)、CEH(Certified Ethical Hacker)、MCSE、ITIL Foundation V3、CCNA。

ベースラインAPT対策コンソーシアム(BAPT)

標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。

参加企業は、ニュートン・コンサルティング、ウォッチガード・テクノロジー・ジャパン、サイバーソリューションズ、PFU、ウェブルート、ベル・データ、フェス、ゾーホージャパン。

http://bapt.zohosites.com/

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。