セキュリティ対策の全体像をどのように考えればよいか
Cyber-sec+に以下のような質問が寄せられました。様々な知見が集まったことと、だれもが悩む普遍的な問いだと思ったので、寄せられた回答をもとに情報を整理してみました。
仕方がないですが、Cyber-sec+の内容は時間が経過すると見えなくなってしまうので、もったいないですよね(´・ω・`)
質問内容
10月17日に投下されたむらごうさんからの質問の内容は以下の内容でした(原文そのままで掲載)。
お世話になります。
ざっくりとした質問で恐縮ですが、よろしくお願いいたします。
弊社ではセキュリティ強化を目的にクライアント端末にインストールしているウィルス対策ソフトの更新を行う予定です。
経営層と協議したところ「いきなり局所的な対応にリソースを割くのではなく、会社のセキュリティ全体像の把握が先ではないか」というお達しがありました。
→これについては大変納得しています。
私自身にセキュリティに関する専門知識やスキルがないため、専門家にフォローしてもらう方が的確で効果のある分析ができると考えているのですが、
どこに(誰に)、おいくら万円で、スケジュールは?など不明点がある状態です。
#都内のIT企業、50名規模の会社で、現在私がひとり情シスとなります
この辺りの知見やご経験をお持ちの方がいらっしゃればアドバイスをいただければ幸いです。
寄せられた回答
実経験に基づくアドバイスから、参考になる様々なフレームワークの紹介まで様々な回答が寄せられました。時系列そのままで紹介するよりは、簡単なものから高度なものまで整理して掲載したほうが良いと思いましたので、だいぶ翻案、整理して記載しました。ごめんなさい。問題があったらご指摘ください。
IPAの「中小企業の情報セキュリティ対策ガイドライン」
私、kobayayoからのアドバイス
リスクアセスメントは自己診断でもある程度できます。
IPAの「中小企業の情報セキュリティ対策ガイドライン」を参考にまずは情報セキュリティ自社診断を始めるのはどうか。
中小企業の情報セキュリティ対策ガイドライン
5分でできる!情報セキュリティ自社診断(全8ページ)Australian Cyber Security Centre(ACSC)が公開している、Essential Eight
Essential Eightを構成する緩和戦略
- アプリケーションにパッチを適用(patch applications)
- オペレーティングシステムにパッチを適用(patch operating systems)
- 多要素認証(multi-factor authentication)
- 管理者権限の制限(restrict administrative privileges)
- アプリケーション制御(application control)
- Microsoft Office マクロを制限(restrict Microsoft Office macros)
- ユーザー・アプリケーションの強化(user application hardening)
- 定期的なバックアップ(regular backups.)
紹介してくださった大本さんのアドバイス
日本ではあまり知られていない気がしますが、世界的には評価されているAustralian Cyber Security Centre(ACSC)が公開している、Essential Eightはセキュリティの基本を考える上で優れたコンテンツです。
中小企業等含めたセキュリティリソースが無い企業でも実施出来るように重要な8個のポイントに絞って記載されていて、かつ具体的に記載されています。
50名規模であれば、成熟度1が目標とされる水準なので成熟度1のレベルでどの程度出来ていて、出来ていないか?を自社診断してみるのがおすすめです。
CIS Controls
SOC_octoberさんのアドバイス
管理面も含めたリスクアセスメントから実施し、優先事項を根拠立てる形ですね
セキュリティフレームワークを利用したアセスメントサービスによって社内の現対策状況を把握し、底上げ的に対策を進める。というようなイメージではどうでしょう。
弊社では著名なフレームワークのうち、具体的な実装面について特徴のあるCIS Controlsを採用し、対策を進めております。
①CIS Controlsでのアセスメントを受ける
②翌年からの3か年での目標値・対策内容を計画
③各年度での予算取得、対策の実装
④各年度ごとに実装状況を評価
フレームワークの特徴を説明している記事
(参考)LACさんのCIS Controlsアセスメントサービス説明ページ
日本自動車工業会のサイバーセキュリティガイドラインならびに情報セキュリティチェックシート
乃里さんのアドバイス
情報セキュリティ自社診断に絡めて
日本自動車工業会からも独自のサイバーセキュリティガイドラインならびに情報セキュリティチェックシートが発行されています。
Lv1項目だけでも多いので大変なのですが。
https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html
実践的なアドバイス
arithさんの自己の経験に基づく実践的なアドバイス
同じような状況にある、情シス2年生の52歳、前職は製造業営業です。社内状況も、多分御社と似たり寄ったりだと思います。むしろ、全体を見ろと言える方がいるのが羨ましい😅
全く参考にならないかもしれませんが自分がやっていること、やってきたことを書いてみます。
①爆速で隙間時間を情報収集に充てています。情シスSlackとここをROMしてるだけでもだんだん輪郭は掴めてきます。
②関連書を読み込みつつ、不明な部分はさらに関連書に飛びます。これをループさせます(セキュリティ→ネットワーク→セキュリティのような感じ)。
ラックさんの『ランサムウェアから会社を守る』、せきやまもるさんの『セキュリティの基礎』などから始めました。
③その上で社内ネットワーク図を写経しながら現物にあたり、不明点を埋めていきました。これだけでも課題がすごくはっきりします。
④次に現場の把握。製造のワークフローや、部門ごとのネットの使い方、出入り口を当たりました。皆さん何してはるの?どこで危ないもの踏みそうになってるの?
⑤4のあと、社内のPCユーザへアンケートも取ってみました。危険への関心、知識のレベルを見るためです。
⑥そんなこんなで、最近ようやく、全体をいっぺんに解決するのは無理(当社状況から)と諦めがつきましたw
限られたリソースの中でまず何を守るか、まず何からできるかをコアに置いて考えています。最悪なんかあってもここだけは生きていれば操業できる、というポイントですね。
年内には方針とざっくりのスケジュール感を出して、段階的に実装へ進むつもりです。
目下の悩みは社内に悩みを分け合ったり、相談できる人がいないこと。結構キツい。
セキュリティについては必要な知識範囲が広く、世間の更新速度も爆速で、一度触ったらひたすら追うしかない、一足飛びの答えはないと、いまいま考えています。
外注するにしても要件定義が朧にでもできないとコストが青天井になりますので、関わりのある業者さんにも相談しつつ、自分の理解と知識拡張に励んでます。
参考にならなさそうですみません。でも、頑張りましょう。
12banさんからは副業で行っているセキュリティコンサルタントに依頼してみてはというアドバイス
リスクアセスメントを行うのが一般的です。ご自分でやってみるのも良いと思いますし、セキュリティコンサルに依頼するのも良いと思います。
ただコンサル会社に依頼する予算が出ないのであれば、副業でやってくれる人見つけると良いと思います。コンサル会社に依頼するよりは安くできるはずです
おまけ
別の投稿から参考になる情報を掲載しておきます😇
情報セキュリティ読本 六訂版
Nissyさんから紹介していただきました🙇
IPA から出ている『情報セキュリティ読本』も、基礎的な内容でお勧めです。
そして、何せ価格が 660 円!
情報セキュリティ読本 六訂版
やわらかセキュリティ
shnmorimotoさんから紹介していただきました😇
SNSでセキュリティインテリジェンスを発信している情報源(アカウント)
もりりゅーさんがまとめてくださった情報も併せて紹介しておきます。
SNSでセキュリティインテリジェンスを発信している情報源(アカウント)を紹介しました✍️
リアルタイムでの世界中のインシデントや脆弱性情報を収集したい方・自己研鑽したい方向けの記事となっております😊
Discussion