クラウドサービスを利用する際のセキュリティ対策を強化するにはどうすればよいのか?(ミニプラクティス)
このプラクティス集を作成するために実施した企業インタビュー調査で得られた「指示5」に関するプラクティス等のうち、事例で紹介できなかったものを示します。
ミニプラクティス1 クラウドサービスを利用する際のセキュリティ対策を強化するにはどうすればよいのか?
| 対応するチェック項目 | 5-3:システム設計時にリスク分析を行い、必要なセキュリティ機能を具体化し、開発時に実装している |
| 企業による実践例1 | クラウドサービスの場合、オンプレミスのシステムと比較して現場のエンジニアが勝手に設定を変更してしまうようなことが生じやすい。そこで「これが守られていないとインシデントが生じかねない」というポイントを対象とする自動監査の仕組みを作り、定期的に監査している。(情報サービス業) |
| 企業による実践例2 | クラウドサービス毎に、どのような設定にしておけば自社のセキュリティポリシーに従った運用ができるのかを整理したガイドラインを作って社内に配布している。ただしそれでも抜け漏れはあるので、実際に疑似攻撃することで問題を見つけることも併用して行っている。(情報サービス業) |
| 有識者による助言 | 企業におけるDX推進等の動きの中でクラウドサービスの利用機会が増えているが、クラウドサービス事業者にお任せで済むものではなく、依然として利用者で責任を負うべき部分や、予期せぬ設定変更などクラウドサービス特有のリスクもあることに留意が必要である。下表に示すようなクラウドサービスの種類に応じた責任共有の考え方について理解を促すことが望ましい。 |
表1 クラウドサービスを用いて構築された情報システムの構成要素に関する責任共有の考え方
ミニプラクティス2 ペネトレーションテストの補完手段として、どのような対策があるのか?
| 対応するチェック項目 | 5-6:システム等に対する定期的な脆弱性診断や、継続的なパッチ適用、その他の緩和策等の脆弱性対策の計画を立て、実行している |
| 企業による実践例 | チェックリストの励行のみで安心してしまうのは危険であって、攻撃が成功する恐れがないかを外部の目で確認する脅威ベースのペネトレーションテスト(TLPT)のような取組を行うことが望ましい。しかしながら小規模の変更等でTLPTを行うほどでもない場合、システムの対策状況を熟知している要員が攻撃側、防御側それぞれの役割を演じつつ、攻撃が成功するかどうかを検証する机上演習(テーブルトップエクササイズ)を実施するのみでも有益である。(金融業) |
ミニプラクティス3 従業員向けのセキュリティ研修の受講モチベーションを高めるにはどうすればよいのか?
| 対応するチェック項目 | 5-10:従業員に対して、サイバーセキュリティの教育・演習を実施している |
| 企業による実践例 | サイバーセキュリティ研修の後で実施する確認テストの結果をもとに、それぞれの部門や個人がどのような傾向で間違えるか他部門との違いを示すことで、自分達のセキュリティに関する理解度がどうなのかを定量的に見せるようにしている。(教育業) |
ミニプラクティス4 従業員向けのサイバーセキュリティ教育の効果を高めるにはどうすればよのか?
| 対応するチェック項目 | 5-10:従業員に対して、サイバーセキュリティの教育・演習を実施している |
| 有識者による助言 | 2020年からのコロナ禍での体験は、サイバーセキュリティにおいても参考になる。コロナ禍では、「手洗い」「うがい」「消毒」を単にやれと言うのではなく、「なぜやらなければならないか」を全員が理解することで徹底できた。サイバーセキュリティに関してもパスワードや不審な電子メールの扱いに関するルールがあるが、それがなぜかがわからないと実践に結びつかない。一般の従業員に対して、なぜセキュリティ管理者が要求するのかを腹落ちさせることで、目的に応じた改善や提案が出てきたり、応用が利いたりする。演習も同様であり、「なぜこのような手順になっているのか」を理解することで、「状況にルールが適合していない」といった気づきが生まれてくる。 |
注)対応するチェック項目:サイバーセキュリティ経営ガイドライン経営可視化ツールの39問のチェック項目の番号に対応しています。 (公開ページ)https://www.ipa.go.jp/security/economics/checktool/index.html
