ISMSでニュースに出てくるようなサイバー攻撃は防げる?防げない?

FacebookLinkedInTwitter
Share
#セキュリティ#コンサルティング#サイバー攻撃対策#ISMS

Written by セキュリティ事業部

2022-06-28

サイバーセキュリティ


みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。

私たちが小さい頃の2022年って、めっちゃ未来でツルッツルの銀色の服を着て、チューブの中を空飛ぶ車が走ってるって思ってませんでした?実際の2022年は、全然そんなことなくて残念ですよね。

でも「サイバー攻撃集団がランサムウェアで企業をサイバー攻撃、BitCoinで身代金を要求する」のような、逆に未来感溢れるニュースも時々話題になっています。ニューロマンサーの世界観じゃん・・・

さてそんな今日は、「ISMSでサイバー攻撃は防げるの?」というお話です。


そもそもISMSは何をカバーするもの?

ISMS=情報セキュリティマネジメントシステムは、情報資産のセキュリティを、リスクマネジメントプロセスによって管理する仕組みのことです。

ISMSってなんぞや?って方はこちらをご覧ください。

ISMS認証取得のスケジュール感と費用感をざっくり解説 | Skygate Technologies

まず ISMS(情報セキュリティマネジメントシステム)は、 企業や組織があらゆる情報資産を適切に管理し、守るための仕組み です。ISMS認証は、この仕組みの国際...

https://www.skygate-tech.com/ja/articles/isms-certification-overview-jp

ISMSがカバーするのは、情報資産に関連するセキュリティです。当然、サイバー攻撃からデータを保護することも、範囲に含まれています。

でも、企業の担当者としてISMS認証を取得された方や、セキュリティマネジメントを担当している方は「こんなんで本当にニュースに出てくるようなサイバー攻撃防げるの?」と疑問を感じている人も多いのではないでしょうか?

サイバー攻撃対策の専門家に聞いてみる

弊社の事業部の責任者でもあり、防衛省・自衛隊でセキュリティを担当していた社長の粟津が、割と本当にサイバー攻撃の専門家なので、聞いてみました。


私「ISMSでサイバー攻撃って防げるもんなんですかね」

粟津「場合によりますね、サイバー攻撃って言っても色々だし、ISMSも「何をしろ」というより自分たちの社内のPDCAの仕組みをちゃんとしようね、という話なので」

私「じゃぁ防げるサイバー攻撃ってあります?」

粟津「それ話すと長いんだけど、話していいの?」

(以下、1時間ぐらい)


で、色々と説明してもらった結果、まとめるとこんな感じでした!

  1. サイバー攻撃には、無差別に攻撃する場合とターゲットを絞る攻撃する場合がある

  1. 無差別に攻撃する場合は、セキュリティの基本動作をちゃんとしていれば防げることが多い

  1. ISMSの中でセキュリティの基本動作が従業員や情報システムに適応されるようになっていれば、ある程度はサイバー攻撃を防げる

どうやら、ISMSがどうのこうの、と言うよりも、ISMSのマネジメントの中で、セキュリティの基本動作と呼ばれるようなものを従業員に徹底できるようにしているかが重要なようでした。

セキュリティの基本動作

たびたび出てきた「セキュリティの基本動作」とは、サイバーセキュリティの中で最も基本となるような普段の心がけや設定のことだそうです。

環境や時代によっても異なるとのことですが

  • パスワードを使い回ししない

  • 不審なメールを開かない・リンクやファイルをクリックしない

  • パソコンやスマホのOSやアプリを常に最新版にアップデートする

  • おかしいなと思ったらセキュリティ担当者に連絡する

  • PCやUSBメモリを亡失したり盗難されたりしないようにする

  • アクセス権を最小限に設定する

といった内容が代表的とのこと。

私はもっと「ファイアウォールの設定がこう」「エンドポイントのセキュリティがこう」といったような難しい内容を想像していたんですが、基本動作は思ってたよりシンプルですね。これであれば、どなたにもできそうです。

ISMSに組み込むには?

こういったセキュリティの基本動作をISMSで実現しようとすると

  • セキュリティ教育で基本動作を従業員にしっかり啓蒙する

  • 業務用のPCやスマートフォンのセキュリティアップデートがオンとなる設定とする

  • セキュリティ担当者に連絡ができる体制づくりを心がける

  • 規程でアクセス権を最小とするように指定し、内部監査やチェックで確認する

あたりが具体的な盛り込み方になるのではないかと思います。

確かに、ISMS自体はリスクマネジメントを中心とした仕組みでしかないので、ISMSを構築していれば大丈夫、ISMS認証を取得していれば問題ない、というわけではありません。ただ、必要なサイバー攻撃対策をしっかりと会社に浸透させていくという観点で考えると、セキュリティマネジメントでしっかりと啓蒙したり、チェックしたりすることは重要と言ってよいかなと思います。

一方で、粟津曰く「特定の業界や企業を標的とした高度なサイバー攻撃は、情報セキュリティマネジメントシステムだけでなく、他のフレームワークを活用したり専門的なエンジニアリングが必要不可欠」とも言っていました。特に重要な情報資産を取り扱う場合には、高度なサイバー攻撃の標的になることも視野に入れて対策をしたほうが良さそうです。

まとめ

  • サイバー攻撃といっても色々ある

  • セキュリティの基本動作を行なっていれば、かなり防げる

  • ISMSにセキュリティの基本動作を盛り込む方が良い、ただ高度なサイバー攻撃は別の対策が必要


以上、いかがだったでしょうか?

ISMSの存在に頼りすぎることなく、でもしっかり活用して、サイバー攻撃対策を社内に広めていくことを意識したいなと感じました。

弊社では、ISMS認証取得・維持の支援を提供しています。情報セキュリティマネジメントシステムを単なる書類と監査の仕組みにせずに、より実効性を向上させて、サイバー攻撃対策にもなるようにお客様を支援するのが特徴です。

また、サイバー攻撃対策に特化したコンサルやセキュリティ構築支援も承っています。高い専門性から、宇宙・防衛関係の企業様に採用いただくなど、好評です。


「いやーうち本当にサイバー攻撃大丈夫なの?」と思ったセキュリティ担当者の方、ぜひ弊社に相談してみませんか?ISMSは こちら から、サイバー攻撃対策のよろず相談は こちら からお問い合わせください。

Follow Team Skygate

FacebookLinkedInTwitter

(C) 2020-2022 スカイゲートテクノロジズ