2018/06/20
巧妙化するサイバー攻撃に備えよう!
事業者自らPDCAを回していく時代へ
国を挙げて重要インフラをサイバー攻撃から防御する施策は2000年の「重要インフラのサイバーテロ対策に係る特別行動計画」の策定から始まる。以来3年〜5年おきに見直しを行い、直近では昨年2017年4月に2020東京オリンピック・パラリンピック競技大会も見据えた「重要インフラの情報セキュリティ対策に係る第4次行動計画」を策定した。
新たな行動計画では初めて「機能保証の考え方」を導入した。「これまでの、単にサイバー攻撃からITシステムを守る、という視点から、各インフラが提供するサービスを安全かつ持続的に提供(機能保証)するために制御システムを含めITシステムを守る、という視点に転換した。」と宮崎氏。これはオリンピック・パラリンピック競技大会で求められるサイバーセキュリティの視点にも応用できる。
また、新たな行動計画にあわせて「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)」を今年4月4日に公表。今回は、この機能保証を実現するため、関連文書「重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書」を添えることで、絶えず変化する社内環境や攻撃者の手口に応じた定期的なリスク評価ができる具体的枠組みを提示。重要インフラ事業者等が自律的に情報セキュリティ対策に取り組める環境を整えた。
すでに、情報セキュリティ対策の指針には、「情報セキュリティマネジメントシステム」の国際標準ISO27000シリーズや、NIST(アメリカ国立標準技術研究所)の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」、国際電気標準会議(ICE)「CSMS認証基準」など、重要インフラ分野関連の情報セキュリティの標準が示されており、それらの基準を活用して取組を進めている事業者もいる。今回の指針第5版はこれら主要な標準も考慮した構成になっている。「新たな指針・手引書により、自らPDCAを回していく時代にようやく入った」と宮崎氏はいう。
サイバー攻撃による重要インフラ障害を未然に防ぎ、また被害を最小限にとどめるには、実務者同士が事故事例や対策を緊密に情報共有し、同じ手口を繰り返す攻撃を一掃することが最善策となる。すでに問題意識の高い情報通信・金融・電力の3つの業界では、民間主導でサイバーセキュリティの事業者間連絡組織「ISAC」を結成し、積極的に情報共有をしてきた。一方、政府では、業界間や業界横断で情報共有を促そうと2009年に「セプターカウンシル」という組織体制を創設した。
セプター(CEPTOAR)とは「Capability for Engineering of Protection, Technical Operation, Analysis and Response」の略。2018年5月時点で13分野18セプターがあり、セプターカウンシルの運営委員会が年4回開催され、18セプターの会員が情報共有を行う。また、年1回はセプターカウンシルの総会として、18のセプターの代表が一同に会して情報共有を行う。
巧妙化するサイバー攻撃に備えよう!の他の記事
- 社内チャットをメールと一体で提供
- 急ピッチで進む重要インフラのサイバー攻撃対策
- EU個人データ保護法「GDPR」施行
- システム切り替えの自動化ソリューション
- LINE、ヤフーやアマゾンなどと啓発
おすすめ記事
-
-
家庭の防災は企業BCPとつながっている
昨今は社員の自主防災力向上に努めている企業も多いでしょう。この時期は災害時のルール周知に余念がないと思いますが、ポイントとして提案したいのが、家庭の防災と企業BCP のつながりをしっかり伝えること。「家庭と会社は別」と考えがちですが、家庭の防災力を上げないと企業の事業継続力も上がりません。メッセージを出すよいタイミングです。
2024/05/02
-
-
企業不正の実態と不正防止対策
本勉強会では、企業不正の実態と不正防止対策について解説していただきました。2024年4月23日開催。
2024/05/01
-
-
-
-
リスク対策.com編集長が斬る!【2024年4月23日配信アーカイブ】
【4月23日配信で取り上げた話題】今週の注目ニュースざっとタイトル振り返り/特集:南海トラフ地震臨時情報を想定した訓練手法
2024/04/23
-
-
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方