本連載では、「情報セキュリティガバナンス」や「ITガバナンス」の中でもセキュリティ対策に関わる部分を全社的・グローバルに、かつスピーディーに企業へ展開できるガバナンスモデルについて解説する。
前回の記事では、ITセキュリティにおけるサイバーハイジーン(サイバー衛生管理、IT環境を健全な状態に保つこと)のポリシー定義について説明した。今回は引き続きサイバーレジリエンスのポリシー定義について深掘りしていく。
ポリシー定義のカテゴリーについて
今回のポリシー定義では、前回の記事ででも取り上げた米国標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)のカテゴリーをベースに、「サイバーレジリエンス領域」を深掘りしていく。サイバーハイジーンで防御を強化してもセキュリティインシデントが発生する可能性はある。今回のサイバーレジリエンスは、実際にセキュリティインシデントが発生した際の検知・対応・復旧部分についてカバーしていくものである。
「サイバーハイジーン領域」におけるポリシー(前回掲載)
1. 資産管理ポリシー:ITセキュリティに関連する資産管理・構成管理のポリシー定義
2. 脆弱性対応ポリシー:脆弱性対応のポリシー定義
3. 追加防御ポリシー:追加防御やセキュリティツールの稼働に関するポリシー定義
「サイバーレジリエンス領域」におけるポリシー(今回)
4. 有事の対応ポリシー:有事の対応に関するポリシー定義
ポリシー定義のカテゴリー
有事の対応の前提について
多くの企業や組織がマルウェア対策製品およびEDR(Endpoint Detection and Response)製品を導入していると思うが、これらの製品を導入すれば、セキュリティインシデントの対応を全てできるわけではない。なぜなら、人間の目に見えていない部分(=IT資産などとして管理されていない部分・継続的な監視ができていない部分)でセキュリティインシデントが発生しても、検知できないからだ。
また、マルウェア対策製品やEDR製品でセキュリティインシデントの可能性を含んだアラートが多数検知され過ぎて(過剰検知)、セキュリティインシデント対応が多忙を極めている企業や組織を時折見かける。多くのケースは、PCなどの端末に対して脆弱性対応や防御対策(バージョン管理・パッチ管理など)が徹底されていない場合に発生することがほとんどだ。
有事の対応を準備する上で、資産管理を行う、バージョン管理やパッチ管理を行うといった、いわゆるサイバーハイジーンの徹底が最初のステップであることをご理解いただきたい。