株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.8. 継続的に対策するための実施評価と予算措置

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

セキュリティ対策に限らず、継続的な取り組みを行う際には、計画、導入・運用、点検・評価、見直し・改善の順で管理する、いわゆるPDCAサイクルが重要とされています。情報処理推進機構(IPA)のサイトにおいても、PDCAサイクルに関して詳しく説明されています。
情報セキュリティマネジメントにおける点検・評価のステップでは、現在の対策技術や体制が、その時点で確認されている脅威に対して有効か否かを評価するものです。本書においては、標的型攻撃という、いつ攻撃が行われるかわからず、しかし対策を中断することができない脅威対策に関して、どのような指針を持って評価を行えば、対策を継続することができるかを整理します。

重要なことは、何を「評価」するか

ほぼ全ての企業や団体で年度毎に予算が組まれ、年度初めから活動の評価が始まることとおもいます。さて、一年の終わり、正確には翌年の予算を検討する際に、どのように該当年度の実施評価をされているでしょうか。導入時には、セキュリティ機器やサービスの導入メリットや運用の仕組みについて検討を繰り返されていることでしょうが、いざ評価の段階になると、何を評価すればよいのか判然としないという自体が見受けられます。
これは、評価の段階に至っても何を評価するのかが明確になっていないことが原因と考えられます。

一般に重要業績評価指標(KPI)を考えたとき、定量的な評価を連想します。一般のITシステムの場合には、導入したシステムをいかに使いこなしているかということは、投資対効果を計る上で有効なため、パフォーマンスやユーザーの利用率などの数値化された評価項目を設けます。
それでは、セキュリティ対策についてはどうでしょうか。当たり前ですが、セキュリティ対策機器が有効に使われるのは、攻撃行為があったときです。攻撃が行われない場合には、セキュリティ機器は反応をすることがありません。よって、一般的なITシステムのようなKPIでの判定は行いにくいのです。
セキュリティ機器を使い尽くすという視点で見たときには、その運用のありかたが評価の軸になると考えられます。
当社が運営しているセキュリティ監視センター「JSOC」は、850社ものお客様の環境から1日あたり8億件を越えるイベントを収集し、独自の相関分析エンジン「LAC Falcon」にて、警戒が必要なイベントを2000件程度に絞込み、内部の情報を解析して脅威の判定を行っています。このような機器が発するメッセージを読み解き、自社環境でどのような攻撃があるのかを把握する運用のサービス品質保証を、評価ポイントとするべきです。機器の導入をして満足することなく、余すところなくその能力を活用し、活用した結果を分析することで、その対策が的確に機能しているかを判断します。

一方で、社員の情報セキュリティリテラシー教育や、「ITセキュリティ予防接種」のような標的型メール対策教育サービスの場合には、毎年避難訓練を行うように、定期的に訓練を行うことが重要になります。また、CSIRTの運営維持に関しても、事故に備えた組織対応として継続することが重要になります。
このように、組織の維持や継続的な教育といった取り組みの評価は、継続して実施をすることそのものを目標とした評価とします。

継続的に対策を行うということは、コストとの戦い

標的型攻撃との戦いは、ITシステムを活用するうえで避けては通れない課題です。常に継続した対策を維持しなければなりません。しかしながら、ITシステムを生産性の向上や売り上げの拡大に活用するのとは異なり、セキュリティ対策は、いつ発生するとも分からない事故と向き合う取り組みのため、とかくコストの面で疑問が出るものです。

標的型攻撃を含むセキュリティ対策は、実施することがすなわち目標であり評価の一つといえます。
継続して機器が発するアラートを分析する。教育を受ける。組織を維持するためのコストは、いつ起こるかわからない事故への「備え」であると考えてください。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top