IPA NEWS Vol.65（2024年2月号）

目次

「情報セキュリティマネジメント試験」導入法人が語る！組織が「SG」を活用すべきワケ

あなたのセキュリティ知識をチェック！「情報セキュリティマネジメント試験」に挑戦

影響を最小限に抑えるカギは“被害を想定した準備”！3ステップで迅速＆的確なインシデント対応を可能に

知っておきたい！インシデント発生時の相談窓口・報告先

• 2024年度「未踏事業」の公募を開始
• 国内初のサイバー事故調査事業が始動
• 情報処理技術者試験等の出題範囲・シラバスを改訂
• [Just Information]
  情報セキュリティ研修会の実施ノウハウが学べる 講習能力養成セミナー オンデマンド配信開始！
  

特集

「情報セキュリティマネジメント試験」導入法人が語る！ 組織が「SG」を活用すべきワケ

脅威から組織を守る 基本的な知識とスキルを認定

企業や組織がサイバー攻撃を受けて業務停止に追い込まれたり、サプライチェーンに悪影響が及んだりするケースが相次ぐ中、ビジネス現場のセキュリティリーダー育成が急務となっています。そこで役立つのが、IPAが行う情報処理技術者試験のひとつである「情報セキュリティマネジメント試験（以下、SG）」です。

SGは情報システム利用部門のセキュリティ対策に特化した国家試験で、組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的な知識とスキルを認定するものです。試験応募者の9割が社会人で、その勤務先は金融・保険、製造、サービス、医療といった非IT系組織が半数以上に上ります（図表1）。IPAデジタル人材センターの安藤康浩さんは、「ユーザー部門のセキュリティマネジメント人材の育成に役立つほか、SG合格者がいることで組織のセキュリティレベルの対外的アピールにもつながります」とSG導入の利点を説明します。

そのSGを活用しているのが、医療法人神甲会 隈病院（兵庫県神戸市）です。1932年の開院以来、甲状腺の専門病院として高度なケアを提供。外来患者数は年間17万人（2022年）を超え、ITを駆使したチーム医療体制にも定評があります。

IT化推進の立役者は、IT業界出身の理事長・隈夏樹さん。システムの活用と同時にセキュリティにも細心の注意を払ってきました。

例えば、不正侵入による被害を最小化するべく、セグメントを細分化したほか、リスク低減の一環としてUSBの使用制限、セキュリティポリシーの徹底に向け院内のネットワーク工事事業者を1社に限定するといった施策を実施。さらに全職員に機密保護に関する誓約書へサインしてもらうなど、内部からの情報漏えいを防止する仕組みも構築し、情報を安全に利活用するためのリテラシー向上に努めてきました。

医療機関が狙われる現実。矢継ぎ早に対策を打ち出す

「これだけ対策をしていれば大丈夫だろうと思っていました。しかし、それが打ち砕かれたのが2022年10月に大阪急性期・総合医療センターで発生したサプライチェーンの脆弱性を突くサイバー攻撃です。その手口の巧妙さに大きな衝撃を受けました。当院も早急に手を打たなければと、システムの構築・運用を担う管理本部などと連携し、さらなるセキュリティ強化に乗り出したのです」と隈理事長は振り返ります。

施策は多岐にわたりました。セキュリティ保険の増額、セキュリティ体制に関する外部監査の実施、情報セキュリティや個人情報保護の規程、運用マニュアルなどの見直しといったソフト面のほか、全端末のログ監視、パケットの振る舞い検知システムの導入、電子証明書が発行された端末のみネットワークに接続できるようにするなど、ハード面も整備。そして、これらと並行して進められたのが、SGを活用したセキュリティ人材の育成でした。「医療の世界は業務が特殊なこともあり、コンサルタントやベンダーなど外部頼みの対策では限界があります。情報を扱うのは結局のところ内部の人間です。当院にとって本当に有効なセキュリティ施策を立案・実践するには、院内の各部門に情報セキュリティの担当者を置き、現場のリテラシーをよりいっそう高める必要があると考えたのです」

セキュリティ強化には、現場のリテラシー向上が不可欠！

セキュリティ対策の実践には正しい知識が必要

では、その担当者をどのように育成するのか。管理本部で情報システムの企画・管理・運用に携わる柳田一郎さんが注目したのがSGでした。「前職でSEをしていたこともあり、情報処理技術者試験は馴染みがありました。ユーザー向けのセキュリティ試験という点でも、SGはまさにわれわれのニーズにマッチしていたのです」と柳田さん。IPAの国家試験ならば信頼性が高いと隈理事長も賛同し、2023年春から柳田さんは院内の各部門にSGの受験を推奨して回ったそうです。「人に勧めるなら、まずは自分から」と柳田さん自身もSGを受験し、同年7月に合格しました。

一方、柳田さんの働きかけとは別に独自にSGを受験し、2023年6月に合格を果たした職員がいました。血液検査や生化学・免疫検査、採血業務などを行う検体検査室の副室長で管理責任者でもある、臨床検査技師の立花悟さんです。

立花さんはAIを医療に活用する外部との研究プロジェクトに参画したことをきっかけに、2022年10月、情報処理技術者試験の初級編ともいえる「ITパスポート試験」に合格しており、さらなるステップアップとしてSGに挑戦したとのこと。「外注検査や研究業務において外部とデータを送受信する際は暗号化やハッシュ化などを行い、セキュリティに配慮しています。実効性のあるセキュリティ対策を行うには正しい知識が必要。そんな観点でSGが役立つと感じました」と立花さんは語ります。

また、新卒で入職した診療情報管理科の職員1名も学生時代にSGに合格しているため、隈病院のSG合格者は現在3名となっています。「昨今の情勢を踏まえ、それぞれが自発的にSGに挑戦しているのは非常に頼もしいですね」と隈理事長。また、「組織としてセキュリティ対策にかける費用は決して安くありません。しかし、被害を受けて発生する費用に比べるとはるかにローコストです。SGを中核としたセキュリティ人材の育成は、ある意味最も効果的でコストパフォーマンスの高い方法といえるのではないでしょうか」とSGを活用することのコストメリットを説きます。

平時も有事もSG合格者が現場で指揮を執る。それが心強い

インシデント発生時に即応体制を取りやすくなる

SGに合格したことで、「迷惑メールへの対処方法について相談を受けるなど、同僚から信頼を得られ、日々の生活においてもメリットを感じられるはず。さらに多くの職員に取得してほしい」と柳田さん。そうして個々人のセキュリティ意識が高まることで、仮にサイバー攻撃を受けた場合でも即応体制を取りやすくなり、結果として被害拡大の防止や早期復旧にもつながるのではないかと、システム管理者として有事も見据えます。

その言葉に隈理事長もうなずき、「インシデントが起きれば、おそらくシステム室だけでは対処しきれないでしょう。平時のセキュリティ対策のみならず、インシデント発生時、あるいはその兆候があった場合でも、SG合格者が現場で指揮を執ってくれる。それが心強いのです」と語ります。

立花さんも「いまや医療とITは切り離せず、その意味でセキュリティの知識はますます医療分野で重視されるのでは」と見ています。一方で、隈病院を含め医療関係者の大多数は医療系の学校を卒業しており、ITの知識やスキルがほとんどない状態で業務に携わることに立花さんは警鐘を鳴らします。「だからこそ、セキュリティについて学ぶことが大事だと部門内の他のスタッフに伝えており、実際にそうした考えが浸透してきたのを感じます」とSG受験の機運の高まりを示唆します。

応募者数増加の背景にある3つの要素

「サイバー攻撃の被害に遭えば、事業停止、金銭被害、信用低下など深刻な事態を招き、組織の存続さえ左右しかねません。つまり、セキュリティ対策は重要な経営課題のひとつであり、トップの関与は当然なのではないでしょうか」と隈理事長。今後はSG受験のサポート体制や資格手当などを整備して取得率向上につなげ、少なくとも各部門に1人のSG合格者を配置したいと展望を描いています。

SGに対する注目も高まっており、2023年度上期は前年同期に比べ応募者数が大きく増加しています（図表2）。

その背景について安藤さんは、2023年度より通年のCBT方式の試験が始まったことによる受験機会の増加、サイバー攻撃の手法の巧妙化・悪質化、さらにサプライチェーンを構成する中小企業では発注元企業への標的型攻撃の足掛かりとなる懸念も指摘されており、セキュリティ意識が高まっていることを挙げています。

デジタルを安全に活用するための知識・スキルは必要不可欠であり、情報セキュリティマネジメント人材は業種・職種を問わず、また営業・企画・製造・総務・人事・経理などの部門にかかわらず、多くの現場で今まで以上に存在感を増すと考えられます。

安藤さんは「デジタル技術を安心して活用できる組織づくりのために、あらゆる現場でSGがいっそう活用されることを願っています」と語ってくれました。

特集 【ウェブ限定記事】

あなたのセキュリティ知識をチェック！ 「情報セキュリティマネジメント試験」に挑戦

IPAが実施する「情報セキュリティマネジメント試験（SG）」は、脅威から継続的に組織を守るための基本的な知識とスキルを問う、部門における情報セキュリティリーダー向けの試験です。
科目A試験では、情報セキュリティに関する各種対策、関連法規のほか、技術分野や経営管理などの関連分野から出題。科目B試験では、身近な事例をベースにした実践的な問題が出題されます。
そんなSGのお試し問題をここで出題！ あなたは何問正解できますか？

[ 科目A ]

問1 デジタルフォレンジックスの説明はどれか。

問2 情報システムのインシデント管理に対する監査で判明した状況のうち，監査人が，指摘事項として監査報告書に記載すべきものはどれか。

[ 科目B ]

問3

消費者向けの化粧品販売を行う A 社では，電子メール（以下，メールという）の送受信にクラウドサービスプロバイダ B 社が提供するメールサービス（以下，B サービスという）を利用している。A 社が利用する B サービスのアカウントは，A 社の情報システム部が管理している。

〔B サービスでの認証〕
B サービスでの認証は，利用者 ID とパスワードに加え，あらかじめ登録しておいたスマートフォンの認証アプリを利用した 2 要素認証である。入力された利用者 IDとパスワードが正しかったときは，スマートフォンに承認のリクエストが来る。リクエストを 1 分以内に承認した場合は，B サービスにログインできる。

〔社外のネットワークからの利用〕
社外のネットワークから社内システム又はファイルサーバを利用する場合，従業員は貸与された PC から社内ネットワークに VPN 接続する。

〔PC でのマルウェア対策〕
従業員に貸与された PC には，マルウェア対策ソフトが導入されており，マルウェア定義ファイルを毎日 16 時に更新するように設定されている。マルウェア対策ソフトは，毎日 17 時に，各 PC のマルウェア定義ファイルが更新されたかどうかをチェックし，更新されていない場合は情報システム部のセキュリティ担当者に更新されていないことをメールで知らせる。

〔メールに関する報告〕
ある日の 15 時頃，販売促進部の情報セキュリティリーダーである C 課長は，在宅で勤務していた部下の D さんから，メールに関する報告を受けた。報告を図 1 に示す。

（図 1） D さんからの報告

C 課長は，すぐに PC を会社に持参し，オフラインでマルウェア対策ソフトの定義ファイルを最新版に更新した後，フルスキャンを実施するよう，D さんに指示をした。スキャンを実行した結果，D さんの PC からマルウェアが検出された。このマルウェアは，マルウェア対策ソフトのベンダーが 9 時に公開した最新の定義ファイルで検出可能であることが判明した。
A 社では，今回のマルウェア感染による情報セキュリティインシデントの問題点を整理し，再発を防止するための対策を講じることにした。

設問 A 社が講じることにした対策はどれか。解答群のうち，最も適切なものを選べ。

解答群

• （解答）

  全て「ウ」

  閉じる

セキュリティのすゝめ

中小企業のセキュリティインシデント対応

パソコンの強制終了で 証拠が消える恐れも

ウイルスやランサムウェアへの感染、情報漏えい、システムの停止など、中小企業でもインシデント（事故・事象）発生のリスクが高まっています。そこで重要なのが、被害に遭うことを想定し、対応体制と対応手順をあらかじめ整理しておくこと。いざというときに迅速かつ的確に対応し、被害を最小限に抑えるのが狙いです。例えば、ウイルス感染に気付かず外部に不審なメールが送られ、相手から指摘されてインシデントが発覚した場合、組織の信用低下は免れません。また、そうした外部からの通報に適切に対応できず、発覚が遅れるケースも見受けられます。

システムの不審な挙動を発見し、あわててパソコンやシステムの強制終了・クリーンアップを行うのもNG。攻撃の証拠や痕跡が消え、再発防止策の立案や外部への説明が困難になります。被害が明らかになった段階では、事実を適切に公開する姿勢が問われます。従業員のSNSなどを通じた暴露を避けるためには情報統制も必要でしょう。ひとたびインシデントに見舞われると、その影響が取引先やサプライチェーン全体に及ぶ恐れもあります。被害を極小化するには、インシデント発生時に求められる対応を事前に把握しておくことが重要です。

IPAの「対応の手引」や 「お助け隊」の活用を

インシデント対応の基本ステップは図1の通りです。まずは「検知・初動対応」。インシデントの兆候や発生を見つけたら経営者に報告して対応体制を立ち上げ、ネットワークの遮断や対象機器の隔離といった被害拡大防止のための初動対応を行います。

次が「報告・公表」。特に被害を受ける可能性がある関係者には速やかに第一報を発し、二次被害を防ぎます。

最後に「復旧・再発防止」です。5W1H（いつ、どこで、誰が、何を、なぜ、どうしたのか）の観点を踏まえつつ、時系列で情報を整理（図2）。証拠を保全したうえで、修復を行いシステム等を復旧します。再発防止策の実施も欠かせません。自社で対応が難しい場合は、保守ベンダーやIT製品のメーカーなど外部の専門組織も活用しましょう。サイバー攻撃の監視から駆け付け対応までをリーズナブルに担う、IPAの「サイバーセキュリティお助け隊サービス」の利用も有効な手段です。

状況把握や復旧の進捗に応じて、引き続き報告・公表も行います。インシデントの対応状況や再発防止策、被害者への補償などを提示するほか、被害内容によってIPAを含む公的機関への報告も忘れずに。公表文書の雛型を事前につくっておくことも一手です。

IPAでは「中小企業のためのセキュリティインシデント対応の手引き」を公開しています。参考にしてください。

対策のポイント

• インシデントに関するIPAの支援体制と各種相談・届出窓口
• 「 中小企業のためのセキュリティインシデント対応の手引き」(PDF:1.3 MB)
• 「 サイバーセキュリティお助け隊サービス」

セキュリティのすゝめ 【ウェブ限定記事】

知っておきたい！ インシデント発生時の相談窓口・報告先

「インシデントが発生してどうしたらいいかわからない」というとき、あるいは「ひょっとしてウイルスに感染したかも？」と不安を感じた場合は、IPA「情報セキュリティ安心相談窓口」にご連絡ください。情報セキュリティに関する技術的な相談に対して、わかりやすくアドバイスします。連絡していただくことで情報共有が図られ、社会への注意喚起、セキュリティ被害の低減にもつながります。

IPA「情報セキュリティ安心相談窓口」

Tel：03-5978-7509（受付時間10:00～12:00、13:30～17:00 土日祝日・年末年始は除く）

E-mail：

• 情報セキュリティに関する技術的なご相談

また、IPAでは経済産業省の告示に基づき、国内のウイルスや不正アクセスの被害の届出を受け付けています。ウイルスや不正アクセスの被害が明らかになった場合は、下記ウェブサイトより届出様式を入手し、メールで報告してください。

IPA「コンピュータウイルス届出窓口、コンピュータ不正アクセス届出窓口」

• コンピュータウイルス・不正アクセスに関する届出について

このほか、インシデントが発生した場合の公的機関の相談窓口、個人情報の漏えいが発生した場合の届出先は以下の通りです。

サイバー犯罪に関する相談

• 都道府県警察本部のサイバー犯罪相談窓口
  • サイバー犯罪に係る情報提供や犯罪被害、セキュリティ対策の相談を受け付けています。詳細は、各都道府県警察本部のウェブサイトでご確認ください。

インシデント対応に関する相談

• 一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
  インシデント対応依頼
  • 国内における被害低減を目的として、広く一般からインシデントに関する対応依頼をウェブフォームやメールで受け付けています。対応できる依頼や受け付けている相談はウェブサイトでご確認ください。
• 特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）
  サイバーインシデント緊急対応企業一覧
  • 緊急で被害調査や被害切り分け、復旧などの対応（有償）を請け負ってくれるJNSA所属企業を取りまとめています。詳細は、各企業へ直接お問い合わせください。

個人情報・特定個人情報（マイナンバー）漏えいの報告

• 個人情報保護委員会
  • 個人情報や特定個人情報の漏えいなどについて、ウェブフォームで報告を受け付けています。
  • 個人情報の漏えい等
  • 特定個人情報の漏えい等

上記の「インシデント発生時の相談窓口・報告先」をまとめたPDFファイルをダウンロードすることができます。ぜひプリントアウトして見やすい場所に掲示してください。

• インシデント発生時の相談窓口・報告先PDF(PDF:267 KB)