企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
目次
1. 現状のサイバーセキュリティ対策に不安を抱く人は多い
クラウドサービスを利用した情報の共有、リモートワークの一般化など、日本企業のIT環境はDX推進やコロナ禍を経て大きく変化しました。企業のIT化は業務の効率を向上させ、多様な働き方の実現に大きく貢献しています。しかしその一方で、企業のIT化はサイバー攻撃のリスクを高める要因にもなっています。
さらにサイバー攻撃の手法は年々巧妙化しており、従来の方法では十分な対処ができなくなっているのが実情です。そのため、多くの企業が情報流出による社会的な信用の喪失、システムの破壊などによる業務停止などのリスクを抱えていることになります。
そういった背景から多くの企業がサイバーセキュリティ対策の必要性は認識しているものの、リソースの制約や専門知識の不足から、具体的な行動に移せない状態でいます。しかし、企業側にリソースの制約があるといった事情は、サイバー攻撃をする側からは関係がありません。リスクの高さから優先度を考え、早急にサイバーセキュリティ管理を強化するべきです。
GSXでは、サイバーセキュリティ対策に関して日々ご相談をいただきますが、「どこから手をつけるべきか」「どう進めればよいか」といった悩みを抱える中堅企業が多いと思います。サイバーセキュリティ対策を強化すべきと感じてはいるものの、何から手をつければよいのか迷う、判断が難しい、という状態なのです。
2. 最初に手をつける強化策
対応が必要なサイバーセキュリティの課題は多岐にわたるため、「どこから手をつけるべきか」は非常に大きな問題です。特にリソースの制限がある企業では、効率的なサイバーセキュリティ強化策の優先度が問われます。
最初に手をつけるべき強化策は、最も高いリスクの低減です。企業によって最も高いリスクが何かは異なりますが、もし、インターネットと直接接続しているデバイスや公開しているWebサイトがあり、脆弱性管理が十分でないのであれば、早急に手をつけるべき対象になります。
例えば、VPN機器やECサイトはインターネットと直接つながっているうえに、脆弱性が放置されたままになっていることが多く、サイバー攻撃の被害が生じた際の影響が大きい情報資産です。リスクの高い対象からサイバーセキュリティ対策を強化することで、深刻なインシデントが発生する可能性を低減できるでしょう。また、インターネットにつながっている部分は、セキュリティリスクが明確で、効果が経営層等の関係者に理解されやすく、取組みとして進めやすいのもポイントです。
この強化策を進めることで、社内のセキュリティ意識を変えられるメリットもあります。VPN機器やECサイトの脆弱性を診断することで、自社がどれだけ危険にさらされていたか明らかになります。それにより、社内での危機意識を共有できるのです。さらに、このような脆弱性は日々顕在化するため、継続的な管理が必要だと説明し、理解されやすくなります。
つまり、サイバーセキュリティ対策へ取り組む上で不可欠である、経営層の理解を得やすい強化策から着手することで、次のステップに進みやすくなるのです。
3. 中長期的な目標設定と体制整備
最初のステップは、あくまでも緊急対応です。放置しているといずれサイバー攻撃を受けて、企業に深刻なダメージを与えるリスクを低減するセキュリティ強化策でした。
診断された脆弱性を解消しても、また新たな脆弱性が顕在化するため、継続的なサイバーセキュリティ管理体制の確立へと進む必要があります。
次のステップとして、セキュリティポリシーの策定や管理体制の整備があります。すべての対策を同時に進めることは難しいため、管理分野や対象資産別に優先順位をつけて計画的に進めていきましょう。
セキュリティに関する課題が多岐にわたり、優先順位をつけること自体が困難であれば、リスクアセスメントを実施しましょう。リスクアセスメントとは企業の潜在的なリスクを特定し、リスクが発生する原因やリスクの影響を評価することをいいます。リスクアセスメントを実施することでセキュリティリスクを網羅的に把握できるため、企業が抱えているリスクの整理に役立てられます。
外部の専門家にリスクアセスメントを依頼すれば、社内のリソースを節約できるうえに、専門的かつ客観的な視点を採り入れた効果的な解決策が得られます。自社でリスクアセスメントを行うと通常業務が滞ったり、範囲が広すぎてリスクの見落としが生じたり、非効率な解決策を進めてしまう等のおそれがあります。社内の人的リソースが十分でない状態でリスクアセスメントを実施するのであれば、外部の専門家への依頼も検討しましょう。
4. 対策の具体化と効率的な管理
セキュリティポリシーの策定や管理体制の整備により継続的な管理が可能となれば、次のステップとして、強化策をより具体化していくべきです。しかし、事業の特性や保有する情報資産の種類や量にもよりますが、セキュリティ対策として管理が必要となる領域は広く、すべてを手作業で進めるのは効率的ではありません。効率的にセキュリティ対策を行うのであれば、例えば、脆弱性を管理するツールの導入が効果的です。
ツールの導入にあたっては比較検討を行い、自社のシステム・ネットワーク環境に適した選定をすることが大切です。従来型の資産管理ツールだとエージェントを導入できないVPN装置等のネットワーク機器が管理対象から外れて脆弱性が放置されてしまい、サイバー攻撃のターゲットになってしまう例が跡を絶ちません。
自社やグループ各社に多くのネットワーク機器、特にVPN機器が多数ある場合は、ASM(Attack Surface Management)ツールの導入がおすすめです。ASMツールはサイバー攻撃の対象となる領域を管理・監視するツールのことで、脆弱性のスキャンやアセスメントの自動化を行うため、企業のリソースやコストを抑えた効果的なセキュリティ対策を行えます。セキュリティ管理を継続していくには、ASMツールのようなリソースやコストを抑えた方法が有効です。
5. GSXによる支援の特徴
GSXでは企業のサイバーセキュリティ対策をサポートする、さまざまなサービスやソリューションを提供しています。サイバーセキュリティ管理のステップに合わせて、GSXの支援内容を詳しく紹介します。
5-1. 緊急点検サービス
サイバーセキュリティ対策として最初に行うべきことは、IT資産における脆弱性の発見と、環境を踏まえたリスクを把握することです。GSXの緊急点検サービスは、そういった脆弱性、リスクを調査するサービスです。サイバーセキュリティリスクを把握することで、どのような対策が必要なのかを明確にします。緊急点検サービスで行う調査には次のものなどがあります。
詳しいサービス資料は以下のリンクからダウンロードできます。
【GSX】緊急点検サービス資料
5-2. 組織/運用体制の強化
サイバーセキュリティ管理を継続するためには、適切な組織と運用体制の確立が欠かせません。GSXでは、サイバーセキュリティに強い組織と運用体制をつくるため、次のようなソリューションを提供しています。
より詳しいサービス内容は、次のページで解説しています。
サイバーセキュリティに強い組織/運用体制を作る
最新のサイバー攻撃から企業のあらゆる資産を守るために必要不可欠な組織の構築・ルールの整備を支援します
https://www.gsx.co.jp/services/cybersecurityorganization/
5-3. セキュリティ被害を防ぐ
サイバーセキュリティ対策として望ましいのは、そもそもセキュリティ被害を起こさず、未然に防ぐことです。セキュリティ被害が発生したときの対応も重要ですが、セキュリティ被害が発生しないように取り組むことで自社の資産を守ります。GSXが提供している予防的アプローチを支援するソリューションには次のものもがあります。
より詳しいサービス内容は、次のページで解説しています。
セキュリティ事故を防ぐ
情報セキュリティ領域における数多くの事象に対応してきた実績を持つGSXが、安全にビジネスを推進するための最適なソリューションをご提案します。
https://www.gsx.co.jp/services/incidentavoidance/
5-4. サイバー脅威・脆弱性監視サービス「ULTRARED」
サイバーセキュリティ対策のキーワードとして注目を集めるASMが主に内部資産を指すのに対して、サイバー脅威・脆弱性監視サービス「ULTRARED」では、外部のネットワークと接している資産をEASM(External Attack Surface Management)と呼んでいます。「ULTRARED」はEASMを、継続的に管理・運用することを重視したソリューションです。
「ULTRARED」は高度なアセット検出と管理の自動化を行い、攻撃者の立場から脆弱性や弱点を検出するなど、包括的にサイバーセキュリティ対策の強化を支援します。ツールによって自動化された資産管理と、GSXによるリスク評価と改善支援により、企業のサイバーセキュリティ対策の強化をサポートします。
サイバー脅威・脆弱性監視サービス「ULTRARED」に関するサービス資料は以下のリンクからダウンロードできます。
ULTRARED_サービス概要資料
まとめ:今こそ、セキュリティ対策の見直しを
サイバーセキュリティ対策はすぐにできることではなく、緊急性の高い部分から取り組むことからはじめなくてはなりません。そして、組織体制の整備、継続してセキュリティ対策を行う体制・運用の構築など段階的に取り組んでいく必要があります。すべてを自社で行おうにも社内リソースの不足など、さまざまな課題があってサイバーセキュリティ対策の実現は容易ではありません。しかし、巧妙化が進むサイバー攻撃に対応するには、継続的なセキュリティ対策の構築は急務です。
企業がサイバーセキュリティ対策を実現するために、GSXでは多くのサービスとソリューションを用意しています。お客様の安全なビジネス環境の構築に貢献できるよう、GSXはセキュリティ対策の強化をサポートいたします。
【執筆】
グローバルセキュリティエキスパート株式会社
プリンシパルコンサルタント
和田直樹
-------
GSXにて20年以上、様々な業種の企業に対するセキュリティ支援に従事。
関連情報
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
GSXの講師陣が語る、セキュリティ教育の重要性と学ぶ意義〜便利なテクノロジーの裏側への意識を〜
グローバルセキュリティエキスパート株式会社(GSX)では入門編から専門分野まで、幅広い層に対応した多数のセキュリティ教育講座を提供しています。講座の内容だけでなく、受講者の学習を支援する講師陣もGSXの提供するセキュリティ教育講座の大きな強みです。この記事では、講座に登壇する4人の講師の対談を通じて、セキュリティ教育の変化、重要性、学ぶ意義、そしてGSXの取り組みを紹介します。
システム開発のフェーズごとに必要となるセキュリティ対策
デジタル改革や生成AIの活用など、多くの企業で社内外向けのアプリケーション、OS、ミドルウェアなどにより構成されるシステムの開発が活発になっています。革新的なシステムは業務効率の向上や、新たなビジネス機会の創出につながることを期待できます。そういった重要な役割を担うからこそ、システムのセキュリティ確保は最重要項目といえます。なぜなら、個人情報の流出、外部からの攻撃など、さまざまな脅威にさらされるリスクがあるためです。システムのセキュリティ対策は、どのように行うべきでしょうか。システム開発のフェーズごとに必要なセキュリティ対策を解説します。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】
9割のお客様が課題を持つログ管理・運用の実態と重要性とは?
開催日時:2023年11月29日(水)11時00分~12時00分お問い合わせ
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。