プラクティス5-2 サイバーセキュリティ対策において委託すべき範囲の明確化とその管理
従業員数300名規模で住宅設備施工を主たる事業とするI社は、直近10年間で施工のスケジュール管理、海外を含む仕入先への発注、顧客管理、施工図面管理等をクラウドベースのアプリケーションで行うようになるなど、業務におけるインターネットへの依存度が急激に高まっている。一方で、社内のITインフラ管理は従来からのまま、外部接続は電子メール(SaaS型のWebメール)とウェブの閲覧程度という前提のもと、社内のPCにウイルス対策製品を導入しファイアウォールでフィルタリングを行う程度の対策にとどまっていた。そのような状況の中、ある日突然発注システムへのログインが拒絶されるようになり、クラウドサービス事業者に照会したところ、自社のPC1台が悪意の攻撃者に乗っ取られ、サイバー攻撃の踏み台となっていたことで、クラウド事業者が自社への接続を遮断していたことが明らかとなった。I社の社長は同社のCIOを兼ねる総務部長に対して再発防止の対策を指示したが、I社にはサイバーセキュリティに詳しい人材がおらず、社内で議論してもどうすればよいのかの判断ができない。総務部長は自社の実態に応じた対策の実践について、施工の際に共同作業を行うことが多い他社の対策事例や得意先企業のセキュリティ部門のアドバイスを参考にしながら、対策案を検討することにした。
I社の実践のステップ
総務部長が実践したステップは以下の4点である。
①自社端末に未対応の脆弱性がないことの確認
②再発防止策として利用可能なサイバーセキュリティ関連サービスの調査
③②の結果を踏まえた自社で対応する部分と対策を委託する部分の切り分け
④自社で実施すべき対応とベンダーとのコミュニケーションに必要なスキルを身につける要員の育成
I社の実践内容
総務部長は得意先企業のセキュリティ部門担当者から、再発防止には以下の3種類の対策が必要とのアドバイスを得た。
- 端末のマルウェア感染等を検知するためのEDRの導入
- I社のネットワークへのサイバー攻撃等を検知するためのセキュリティ監視の導入
- 上記2種類の対策を含む、社内のセキュリティ対策を管理するための社内体制の確保
これらの具体的な実践方法まで得意先担当者に頼るのは難しそうであったので、総務部長は地元の情報処理安全確保支援士資格を有するITコーディネータにコンサルティングを依頼し、作業の洗い出しを行った。この検討状況を次表に示す。
表1 I社における自社対応と外部委託の切り分けに関する分類と方針
分類 | 実践すべき作業の例 | I社の方針 |
---|---|---|
①自社での対応が必須 |
| 役員や担当者が研修等に参加して必要な知識・スキルを習得した上で実施 |
②自社で対応すべきだが単独での対応は困難 |
| ITコーディネータにコンサルティングを委託して、そのアドバイスをもとに自社の担当者が実施 |
③外部委託が可能 |
| 担当者が調達時に必要な知識・スキルと専門家とのコミュニケーションスキルを習得した上で委託にて実施 |
ITコーディネータはこの整理をもとに、外部委託可能な作業であっても外部に丸投げで済むものではなく、自社で行うべきセキュリティ対策とその実践状況を把握しておく必要があり、その手段としてベンダーとのコミュニケーション能力も必要になることを説明した。またI社で必要としている外部委託先の選定手段として、「情報セキュリティサービス基準適合サービスリスト」及び「サイバーセキュリティお助け隊サービス制度」(いずれも「参考情報」参照)を紹介した。
結論として、I社では外部委託する作業については「サイバーセキュリティお助け隊サービス」のうち、I社が求める条件を満たすものと契約することとした。担当者の育成に関しては、1名のみでは退職時の継承に難があると考え、社員2名を対象とする以下の取組を通じて、自社でのセキュリティ管理を行うのに必要な知識・スキルを確保することとして、予算措置を含む社長の承認を得た。
- サイバーセキュリティ基礎に関する外部研修の受講
- 情報セキュリティマネジメント試験の受験
参考情報
情報セキュリティサービス基準適合サービスリスト(IPA)
https://www.ipa.go.jp/security/it-service/service_list.html
経済産業省の定める情報セキュリティサービス基準を満たすサービスとして、「情報セキュリティ監査」「脆弱性診断」「デジタルフォレンジック」「セキュリティ監視・運用」「機器検証」の5区分毎にリストとして公表。サービス提供地域や主たる顧客の業種等からサービスの特徴を把握することも可能。
サイバーセキュリティお助け隊サービス制度(IPA、ただしサービス提供は民間事業者)
https://www.ipa.go.jp/security/otasuketai-pr/
中小企業において想定されるサイバーセキュリティインシデントを対象に、「見守り」「駆付け」「保険」の3種類をワンパッケージで提供する。サイバーセキュリティサービスベンダーと損害保険会社の連携などの体制で複数の事業者がサービスを提供している。