サイバーセキュリティ体制構築ガイドライン
サイバーセキュリティ体制構築のプロセス
2014年と2015年は、大規模情報漏えいが世界規模で多発する1年となりました。
日本国内では、内部犯行が多く欧米ではハッキングによる漏えいが多いような印象がありますが、日本企業の多くは社内システムの管理においてログデータを正しく管理しているケースが少ないこともあり、外部からの不正アクセスを正確に把握していない可能性もあります。
ここでは、サイバーセキュリティ対策に必要となる組織作りの全体像を理解頂くことを目的とし、体制構築と人材採用&育成や求められる社内体制構築のプロセスを解説します。
尚、当社アドバイザリーに基づく対応プロセスのため、他のセキュリティコンサルティング会社と展開プロセスの順序が異なる場合があります。
サイバーセキュリティの位置付け
セキュリティに関する取り組みでは、物理的セキュリティ(刑法の「窃盗罪」の対象になるものを守るセキュリティ) と ICTセキュリティ(刑法の「窃盗罪」が適用できず不正競争防止法の「法律上の義務に違反してその営業秘密を開示する行為」の対象になるものを守るセキュリティ)に大きく分けることができると考えています。
物理的セキュリティは、会社設備や契約している施設(倉庫やデータセンター等)の保全を目的としたセキュリティ施策であり、警備会社が担当するような分野から、執務スペースに会社が認めた者以外が入室できなくするための設備や手続き、さらに執務スペースにおいても権限や役割によりアクセスできなくするような対策を指します。一般的には施錠管理、監視カメラの設置運用などを指します。
ICTセキュリティの中には、情報資産の保護を目的とした情報セキュリティ(機密情報保護と個人情報保護)、IT機器を用いて実施するセキュリティ対策であるITセキュリティがあり、最近ではインターネット環境へ様々なものが接続されていることから、サイバー空間における様々なセキュリティ対策を考えていくサイバーセキュリティといった取り組みの分類があります。
※本分類は、当社独自の考え方です。
サイバーセキュリティ体制について
現在、多くの企業がISO/IEC 27001:2013認証やPマーク認証を受け、また上場企業では内部統制報告書をもって社内の情報管理体制やその仕組みについて管理・運営しています。これらに基づき、セキュリティ分野に関する取り組みを構築し、主に内部犯行をベースとした対策を講じています。
しかし、現在多くの企業では、社内にいる社員は自社雇用契約に基づく社員のみであることは少なくなってきており、取締役・正規社員・非正規社員・派遣社員・パート&アルバイト、業務委託社員に出入り業者と様々な契約に基づく人材を活用した事業活動を行うことが当たりまえになっています。
更に、社内システムをインターネット環境と接続していることで、社内から外部に接続できるのと同様に外部からも社内に接続できる状態になっており、セキュリティ対策を正しく、時流に合わせて実施していなかったことにより、外部からもアクセスができる状態になっているという事例も増えています。
注意すべき点としては、ISO/IEC27001認証のほとんどが日本企業であることや、Pマーク認証は日本独自のものであることから、海外の個人情報保護だけではなく、プライバシー保護の観点については、現在の認証とは別の枠組みも考えておいた方が良い可能性もあります。
CISO設置の考え方
CISOを新規に社内に設置する際の設置基準、業務内容、牽制関係の構築等、様々なご相談を受けます。そこで、本項では、CISOを設置する際の基準について纏めておきます。
1.CISOが守るのは、会社?情報?
まずはこちらから
平成28年度 サイバーセキュリティ対策に関する調査報告書:NISC
https://www.nisc.go.jp/inquiry/pdf/kigyoutaisaku_honbun.pdf
CISOの設置を検討する上で、その経営による意思決定に大きな影響を与えるものとしては、自社の危機管理に「情報セキュリティ/サイバーセキュリティ」が必要とされるリスクまたはクライシスが定義されているのかという点があります。
もし、事業継続上のリスクとして、サイバー攻撃等が想定されていれば、IT分野に明るい、CIOと対抗する形でのCISOを設置する必要性が出てきます。
逆に、情報管理の徹底ができていれば、重要情報は紙なので等々、自社のシステムに多少の影響があっても大丈夫という会社であれば、CISOは総務寄りの人材として想定されてくるものです。
会社を守るか、会社の情報資産のみを守るかに、正解はありません。会社として守るべきものが明確になっており、その守るための責任者が誰で、どのような手段で守るのかが明確になっていれば、CISOの有無は問題ではありません。
2.CISOは、取締役でなければならないの?
IT系ネットニュースやセキュリティベンダーの記事・コラムだけを見ていますと、CISO=取締役と書かれているところが多くあります。
しかし、上場企業の立場からすると安易に取締役を増員するということは困難なことでもあります。中には、IT業務・セキュリティ業務未経験の取締役CISOを形だけ設置することでインシデント発生時に新たな混乱を生むことも考えられます。
日本企業におけるCISOを考えると、「予算執行」ができる人で良いのではないかと思います。それは、簡単に言えば経営幹部であり、もう少し緩く書くと管理職以上となります。権限規程に基づいて必要な予算を「執行」できることが重要です。
一度インシデントが起これば、まずは数百万円は覚悟した方が良いでしょう。そのために損害保険(情報漏洩保険やサイバーセキュリティ保険)をかける会社も出てくると思われます。
更に、インシデントの収束に向けた作業が、情報システム管理だけではなく、お客様対応、IR対応、警察や弁護士、監督官庁と増えていくことで、職務分掌上必要とされる役割が広がっていきます。この広がりを統括する必要性から、徐々に組織の上位者に意思決定が移動していきます。これが、CISOをより上位の方が担うべきという判断の材料となります。
しかしながら、日本企業の多くは「リスクマネジメント委員会」を設置しており、重要な意思決定は、委員会の諮問に基づく社長の経営判断として社内規程に定められていることが少なくありません。
もしCISOというポジションを新設したい場合には、既存のリスクマネジメントにおいて誰がどの分野に対応することになっているのかを明確にし、その分掌に対して越権することがないように業務を定義しなければなりません。
重要なのは、インシデントが起こった時、想定外の事態に陥った時にその状況から回復させる最低限の予算を持っている人がCISOになるべきです。
3.CISOにとって最も重要な「チカラ」とは?
CISO求められる役割は以下の通りです。
- インシデントの報告を受けて、内容が理解できる。
- インシデント対応の必要性を理解し、経営陣と共有できる。
- 急な対策費用を、自らの権限でねん出できる。
- インシデントを想定した準備に理解があり、必要性を業務に落とし込み、予算を付けられる。
場合によっては、グループ会社を巻き込んで、サプライチェーン先と連携して、インシデントに対応していく必要も出てきます。その際に、会社を守る立場として社外に出ていける看板を持った人でなければなりません。
そういう意味において、CISOに必要なのは、社外的信用と、社内的信頼(組織を動かす力)と予算執行権限(お金を動かす力)と言えるでしょう。
サイバーセキュリティ体制構築
サイバーセキュリティに対応する組織を検討する場合は、まず、 社内のリスクマネジメント体制およびその運営状況を確認し、サイバーセキュリティ分野の対策を行う部署、担当者、設置に関する規程・ガイドライン等の文書策定、トレーニングなどが必要となります。
1. 事業継続上のリスクマネジメント体制の確認
1-1. リスクマネジメント委員会の設置及びサイバーセキュリティ対策の検討
- 既存のリスクマネジメント委員会の対象リスクの再検討
- リスクマネジメント委員会事務局と、専門部署の分割検討
- リスクマネジメント専門部署設定の決定と社内通達
1-2. リスクマネジメント担当部署の設置及び事務局活動の定義
- リスクマネジメント部署の設置と業務分掌の検討
- リスクマネジメント業務規程の検討
1-3. リスクマネジメント担当者の任命
- リスクマネジメント担当者の任命と通達
- 社内各部門のリスクマネジメント担当者(窓口)の設置
- 社内連絡体制の見直し
2. 事業継続上のリスクアセスメント
2-1. リスクアセスメント
- 自社事業に対するリスクアセスメントの実施
参考)リスクアセスメント・ハンドブック 実務編:経済産業省 2011年6年
http://www.meti.go.jp/product_safety/recall/risk_assessment_practice.pdf
参考)情報セキュリティマネジメントとPDCAサイクル:IPA
https://www.ipa.go.jp/security/manager/protect/pdca/risk_ass.html
2-2. リスク対策の検討及び実施
洗い出されたリスクに対する対応策の検討
3. サイバーセキュリティ分野に対応する体制の確認
3-1. CISOの任命
- 取締役会決議により、CISOの任命を実施
- 取締役、執行役員、本部長、部長級での就任が望ましい。
3-2. リスクマネジメント担当部署の設置
3-3. CSIRT体制構築の検討
4. サイバーセキュリティ分野のリスクアセスメント
4-1. リスクアセスメント
- ISO27001におけるリスクアセスメントの援用
4-2. リスク対策の検討及び実施
- 実施計画の策定および対策の実施
5. サイバーセキュリティ分野のトレーニング
5-1. CISO向けトレーニング
5-2. 管理職向けトレーニング
5-3. リーダークラス向けトレーニング
5-4. スタッフクラス向けトレーニング
6. サイバーセキュリティ分野の対策実施状況の監査
6-1. 準備中
6-2. 準備中
サイバーセキュリティ体制に必要な規程類
サイバーセキュリティ体制の構築に必要な取り組みとして、代表的なものはCSIRTがあげられます。この組織は有機的に社内で活動する組織として特例的に活動することが多いのですが、今後は社内の重要な機関として、その設置根拠や活動内容を担保していく必要があります。
1. 組織規程 群
- 1-1. 取締役会規程
- 1-1-a. リスクマネジメント担当取締役規程(参考)
- 1-2. 組織規程
- 1-2-a. 組織図
- 1-3. 委員会運営規程
- 1-3-a. コンプライアンス委員会規程
- 1-3-b. リスクマネジメント委員会規程
- 1-4. 職務権限規程
- 1-4-a. 職務権限一覧
- 1-5. 職務分掌規程
- 1-5-a. 職務分掌一覧
- 1-6. 監査役会規程
- 1-6-a. 内部監査規程
- 1-6-b. 情報システム監査規程
2. 情報資産管理規程 群
- 2-1. 文書管理規程
- 情報の定義
- 社内文書の定義
- 2-2. 機密文書管理規程
- 機密文書の定義
- 2-3. インサイダー情報取扱規程
- インサイダー情報の定義
- 2-4. 個人情報保護規程
- 個人情報の定義
- 2-5. 規程管理規程
- 全規程の位置付け及び管理方法の定義
- 2-6. 特定個人情報保護規程(又は、取扱い規程)/ 2015年12月~
- 特定個人情報の定義
- 特定個人情報の取り扱い
- 特定個人情報の委託先管理
3. 危機管理規程 群
- 3-1. 危機管理規程 / リスク管理規程
- 会社として定義するリスク事象の定義
- 3-2. 情報セキュリティ対策規程
- 3-3. 情報漏洩対策規程
- 3-3-a. 個人情報管理規程(2-4.と同一)
- 3-3-b. (営業)機密情報 漏洩対策規程
- 3-3-c. 顧客情報 漏洩対策規程
- 3-5. 法令違反防止規程
4. システム管理規程 群
- 4-1. システム管理規程
- 4-3. ネットワーク管理規程
- 4-2. データベース管理規程
- 4-4. 情報セキュリティ管理規程
- 4-5. ユーザー規程
- 4-6. 情報システム監査規程(1-6-b. と同一)
サイバーセキュリティ体制の運営に必要なガイドライン
- CSIRT構築ガイドライン
- CSIRT運用ガイドライン
- CSIRT対外連携ガイドライン
※ CSIRT構築については、日本シーサート協議会へご相談下さい。
CSIRTは、バーチャル組織か、固定された組織か
情報漏洩事件・事故が発生すると注目されるのが、CSIRT(Computer Security Incident Response Team、シーサート)です。この組織の扱いは、上場企業や上場企業グループ会社にとって大きな障害があります。
CSIRTを組織横断的チームと定めた場合、課題となるのは、ガバナンスと業績評価となります。
当社では、いくつかの運営パターンに対応した組織構成及び評価方法の指標がありますが、本項においては体制作りの考え方に主眼を置いていますので、まだ別の項で解説したいと思います。
【参考】FEMAのIncident Command System(ICS)
アメリカ合衆国連邦緊急事態管理庁(FEMA)が公開している災害対策の対応ルールには、下記プロセスが定められています。サイバーセキュリティ対策においても、参考にできる考え方ですので、こちらで紹介してみます。
ICS Review Materialsにある「ICS Features」には以下の記載があります。
Standardization:標準化
- Common Terminology
Command:指揮・命令
- Establishment and Transfer of Command:
- Chain of Command and Unity of Command:
- Unified Command:
Planning/Organizational Structure:計画・組織作り
- Management by Objectives
- Modular Organization
- Incident Action Plan
- Manageable Span of Control
Facilities and Resources:ファシリティと資材
- Comprehensive Resource Management
- Integrated Facilities Management
Communications/Information:コミュニケーション・インフォメーション
- Management Integrated Communications
- Information and Intelligence Management
Professionalism:専門家(としての行動)
- Accountability
- Check-In:
- Incident Action Plan:
- Unity of Command:
- Personal Responsibility:
- Span of Control:
- Resource Tracking:
- Dispatch/Deployment
出典
https://www.training.fema.gov/emiweb/is/icsresource/assets/reviewmaterials.pdf
【人材の観点から俯瞰する】
サイバーセキュリティ人材になるには(資格編)
推奨資格(グローバル資格)
- CISSP / (ISC)2
- CISA / ISACA
推奨資格(国家資格)
- 情報セキュリティスペシャリスト試験
Information Security Specialist Examination - システム監査技術者試験
Systems Auditor Examination
推奨資格(民間資格)
- 準備中
その他、IT関連国家資格
- ITパスポート試験
Information Technology Passport Examination - 基本情報技術者試験
Fundamental Information Technology Engineer Examination - 応用情報技術者試験
Applied Information Technology Engineer Examination - ITストラテジスト試験
Information Technology Strategist Examination - システムアーキテクト試験
System Architect Examination - プロジェクトマネージャ試験
Project Manager Examination - ネットワークスペシャリスト試験
Network Specialist Examination - データベーススペシャリスト試験
Database Specialist Examination - エンベデッドシステムスペシャリスト試験
Embedded Systems Specialist Examination - ITサービスマネージャ試験
Information Technology Service Manager Examination
サイバーセキュリティ人材になるには(自習編)
株式会社ENNAでは、国内のサイバーセキュリティ人材育成に有効な講座を検証しています。
まずは自習を前提として、WEB公開情報等からリスト化していきます(随時更新)
セキュア設計
- セキュアシステム設計コース:株式会社ENNA
https://www.enna.co.jp/training_course/secure_system_design/ - セキュリティエンジニアリング:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/awareness/vendor/software.html
セキュア開発
- IPA セキュア・プログラミング講座:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/awareness/vendor/programming/index.html
セキュア運用
- 不正アクセス対策:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/fusei/ciadr.html - 脆弱性対策:情報処理推進機構(IPA)
https://www.ipa.go.jp/security/vuln/index.html - 脆弱性対策情報:JPCERTコーディネーションセンター
https://www.jpcert.or.jp/vh/top.html
セキュリティ監査
- システム監査
- システム監査基準:経済産業省
http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf - システム管理基準:経済産業省
http://www.meti.go.jp/policy/netsecurity/docs/isaudit/system_kanrikijyun.pdf - システム管理基準(追補版):経済産業省
http://www.meti.go.jp/policy/netsecurity/docs/isaudit/system_guidance_tuiho.pdf - 情報システム監査および保証業務基準:ISACA
https://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Pages/Standards-for-IS-Audit-and-Assurance-Japanese.aspx
- システム監査基準:経済産業省
- 情報セキュリティ監査
CSIRT運用
- SIRT人材 スキルアップコース:株式会社ENNA
https://www.enna.co.jp/training_course/csirt_training_basic/ - CSIRT構築に役立つ参考ドキュメント類:日本シーサート協議会
http://www.nca.gr.jp/activity/build-wg-document.html
サイバーセキュリティ人材の育成
サイバーセキュリティ人材は、恒常的に人材不足となっています。
セキュリティ対策は待ったなしの状況ではありますが、採用ができれば対策がデキるという考えを前提とするリスクマネジメントは、結果的に脆弱性を放置することになります。
現在の各社システム構築に関しては、ユーザー企業の要件に対して、コンサルティングにより分析から定義が行われ、その要件定義により基本設計や詳細設計がSI企業において行われています。開発プロセスにおいてもサプライチェーンが確立していますので、サイバーリスク事案が発生した場合の対処については、それらサプライチェーンのどのあたりで発生する、発生したものなのかを俯瞰的に管理できる人材が必要と考えます。
この能力については、外部からの人材の招へいで対応できるものではなく、自社のビジネスの在り方、事業の方向性、システム化の優先順位や、現行システムと新しいシステム構成又はセキュリティ対策との整合性などが問われますので、必要なITスキルを持った人材を採用するだけではなく、そのような人材を活かすことができる管理職の育成が重要となってまいります。
必要な能力としては、社内システムへの十分な理解、サイバーリスク情報の収集、対策プランの立案など、これまであまり重視されてこなかった取り組みが注目されています。
サイバーセキュリティ人材の採用及び育成について
https://www.enna.co.jp/training_course/
サイバーセキュリティ人材のニーズと変遷
日本で不足しているサイバーセキュリティ人材の人数
内閣官房情報セキュリティセンター(NISC)では2014年5月19日に「新・情報セキュリティ人材育成プログラム」を発表しました。
普及啓発・人材育成委員会(NISC)
http://www.nisc.go.jp/conference/seisaku/jinzai/
この中には「情報セキュリティに従事する技術者約26.5万人」に対して、必要なスキルを満たしている人材は10.5万人。残りの16万人に対しては何らかの教育やトレーニングが必要とされています。
加えて、(情報セキュリティに従事する技術者の)8万人が潜在的に人材不足であり、日本の情報セキュリティ対策に求められる水準を確保していく上で、教育や啓発活動、スキル認定や人材発掘が急務であるとしています。
米国でのサイバーセキュリティの現状
米国ウォール街では、金融機関に対するサイバー攻撃の激化から、高度な技術を持つコンピュータセキュリティの専門家の報酬を2倍以上に引き上げ、100万ドルを超えたとのニュースもあります。
ウォール街ハッカー攻撃で笑うのは専門家、報酬倍増で1億円超
http://www.bloomberg.co.jp/news/123-NE5SN66JTSEH01.html
米国では、専門家の転職や引き抜きが常にありますし、日本の場合は社内賃金制度から逸脱するような報酬体系は運用できないために米国のように賃金が上げられないということもありますが、同じ仕事をして報酬が1ケタ違う世界になりつつあります。
日本のサイバー環境に20年間触れてきて感じること(代表取締役 荒川 大)
筆者は、1996年に初めてインターネットに触れたわけですが、当時インターネット環境はインフラというには程遠い世界でした。国立大学間には専用線が敷かれ他大学のシステムを使用することも可能な環境でしたが、本人認証も通信の安定性・安全性も脆弱で、マルウェアもさほど大きな問題になっておらず、汎用機&専用線という環境でなければ、まだまだビジネス利用には耐えきれない状況でした。
ちなみに1991年には「攻殻機動隊 THE GHOST IN THE SHELL」出版され、1995年には劇場版アニメが放映されていますが、日本ではほとんど盛り上がらずに興行収入も良くなく、米国で評価されて逆輸入で話題になるという時代でもありました。
また、現在も変わりがないのですが、UNIX/CやJava、その他開発言語によるプログラミング技術をきちんと教える大学が少なく、社会人になってからITの世界に踏み込む人達も多かったと記憶しています。
就職氷河期という時期にあっては、文系学生の就職先としてIT業界が注目され、ITバブルから様々な業務システムがIT技術で構築されていく中、業務プロセスを変えたくないユーザー企業と、人月で開発期間が長くなれば儲かるというIT業界が結び付いて、多くのメンタルヘルス不調のエンジニアを急増させてきたのもこの時期からです。
逆に、現在社会人としてIT業界で活躍されている方々とお会いしますと、小学生の頃からプログラミングをしていたとか、学生時代にIT技術にハマって自宅にサーバーを構築した等、学校では学べない新しい技術にワクワクしながら、その基礎を体得していった経験を持つ方も多くいらっしゃいますので、先の内閣官房情報セキュリティセンターの発表した資料に基づく人材育成を、どの年代に行うのかというのは、今後1つのテーマになるかと思います。
(2014年11月30日)
サイバーセキュリティ人材になるには(環境編)
結論
サイバーセキュリティに関わる人材と接点を持つこと
理由
筆者は、サイバーセキュリティ関連情報のキュレーション(情報収集、分類整理、WEB公開作業等)をやっているのですが、日本の各メディアが提供する情報だけでは、ボーダレスなインターネット環境において、効果的な対策を講じることはほぼ不可能だと考えています。
欧米での膨大な情報発信量と、それを翻訳して日本のメディアに掲載されるセキュリティ関連ニュースの情報量では圧倒的に差があり、加えて、日本ではシステム運用におけるセキュリティ対策が元々軽視されていることもあって、国内のセキュリティ事故のニュースも相当数に上ります。
更に、海外で問題視されているサイバーリスクであっても、日本では直ぐに対応すべきか判断できないものも多く、その脅威が自社のシステムとどの程度関連があるのかについて検討する必要があります。これをすべて自前でやるのは1個人が対応できる能力・時間・決裁権限等をすべて超えてしまいます。
加えて、IT機器は海外ベンダー製のものが多く、そのプログラミングは海外で行われており、製品のサポートも初期は英語で配信されます。日本語の翻訳を待っていては対策が取れないというのが現状です。
そして、最近もっとも危惧していることは、セキュリティ対策をベンダーに任せれば良かったこれまでのIT開発・運用環境に対して、SIerはセキュリティ人材育成が遅れており、セキュリティコンサルティング会社各社は受注状況が過剰になり始めているということです。
セキュリティ事故が発生しても、対応できる会社が無い又は、対応力が無いけれどもビジネスになるからということで形だけのコンサルティング会社が増えてくること、そしてその対応力が本物であるかの判断ができないままに委託してしまう可能性があるという危惧があります。
このような背景にあって、まずは、サイバーセキュリティ人材に興味を持たれたら、国内にあるサイバーセキュリティに関連する団体へ加盟したり、コミュニティへ参加してみるというところから始めて頂くのが良いかと思います。
国内のサイバーセキュリティ関連団体
準備中
2014年7月初版
2019年12月改訂