• はじめに
• 「専門組織との連絡」とは？
• 具体的な実施例
  • 公的機関による注意喚起情報他
  • セキュリティに関する情報を発信している団体
  • 各業界団体のISAC (Information Sharing and Analysis Center)
  • 専門家の育成と認定を行う団体
  • セキュリティに関連する学会
  • 脆弱性情報公開サイト
  • エクスプロイトデータベース公開サイト
  • セキュリティニュース（ブログ）
  • 脅威インテリジェンスサービス
  • セキュリティベンダによる脅威予測
  • その他
• まとめ
• 参考資料
• 脚注

はじめに

　情報セキュリティのための管理策の中で組織的対策として分類されている「専門組織との連絡」について、主要なガイドラインを参考に自分なりに解釈した内容をなるべく具体的に残しておきます。

「専門組織との連絡」とは？

　先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。

ISO/IEC 27002:2022 5.6 Contact with special interest groups から引用

Purpose：
To ensure appropriate flow of information takes place with respect to information security.
管理目的：
情報セキュリティに関して適切な情報の流れが行われるようにするため。

Control：
The organization should establish and maintain contact with special interest groups or other specialist security forums and professional associations.
管理策：
情報セキュリティに関する研究会又は会議，及び情報セキュリティの専門家による協会・団体との連絡体制を確立し、維持することが望ましい。

※）英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

　上記から、求められているであろうことが「組織外部の情報セキュリティ環境に対する認識を適切に更新するため、情報セキュリティ関連の研究会、会議、専門家による協会・団体との連絡体制を確立・維持し、最新の情報を入手する」と解釈できます。 　次項で最新の情報入手先の具体例を考えてみます。

具体的な実施例

　例えば、組織で定めた情報セキュリティ目的が、「情報セキュリティを維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える」とされている場合、この ”リスクを適切に管理” するための一つの方策として「外部の変化に対し時期を失さずリスクアセスメントを行い、その結果へ適切に対応する」ことが考えられます。
　上記の考え方に基づいて行動するためには、外部環境の変化を察知するためにどのような情報が必要なのか特定し、その情報を入手し得る専門組織との連絡体制*1を確立することが求められます。
　上記に従い、国内の専門組織の例と主に得られる情報を以下に示します。

公的機関による注意喚起情報他

　注意喚起情報の他にもセキュリティ政策に係るガイドラインなど幅広く情報が発信されています。

• 経済産業省

• 総務省

• 国土交通省*2

• 警察庁

• 内閣サイバーセキュリティセンター（NISC）

セキュリティに関する情報を発信している団体

　様々なセキュリティに関連する有用な情報（脆弱性情報、脅威動向、技術的な対策方法、電子政府推奨暗号リストなど）が発信されています。

• 情報処理推進機構（IPA）
  

• JPCERTコーディネーションセンター
  フィッシングに関する最新の攻撃情報が、フィッシング対策協議会から発信されています。

• CRYPTREC（Cryptography Research and Evaluation Committees）

• 日本ネットワークセキュリティ協会（JNSA）

• 情報マネジメントシステム認定センター（ISMS-AC）

• 日本セキュリティ監査協会（JASA）

• 日本スマートフォンセキュリティ協会（JSSEC）

• OWASP（The Open Web Application Security Project）

• CSA (Cloud Security Allianse)

各業界団体のISAC (Information Sharing and Analysis Center)

　主にサイバーセキュリティに関する情報共有を目的に各業界ごとに設立されています。競合他社との情報共有により、攻撃の傾向に対する監視範囲の拡大、脅威に対する連携防御が期待できます。

• ICT-ISAC

• 金融ISAC

• J-Auto-ISAC

専門家の育成と認定を行う団体

　CISSP、CISA・CISM、CEHなど、セキュリティに関する専門資格は多く存在します。また、資格保有者は継続教育研修 (CPE: Continuing Professional Education)が義務付けられており、スキル維持のためのセミナー等が提供されています。

• ISC2 Japan

• ISACA東京支部

• EC-Council

セキュリティに関連する学会

　入会により論文の閲覧等、様々な情報の共有が可能になります。

• 電子情報通信学会（IEICE）

• 情報処理学会（IPS）

• 日本セキュリティ・マネジメント学会（JSSM）

脆弱性情報公開サイト

　ソフトウェアの脆弱性情報が公開されています。

• JVN (Japan Vulnerability Notes) / JVN iPedia

• CVE (Common Vulnerabilities and Exposures)

• NVD (National Vulnerability Database)

• Vulnerability Notes Database

脆弱性公開サイトとは別に アプリケーションベンダのサイトでも脆弱性と対応状況を確認することができます。　

• マイクロソフト セキュリティ レスポンス センター（MSRC）

• Adobe PSIRT（製品セキュリティホーム）

• Apache Security Team

エクスプロイトデータベース公開サイト

　対象の脆弱性に対する エクスプロイト公開状況を確認することができます。

• Exploit Database

• Metasploit

セキュリティニュース（ブログ）

　セキュリティに関連するインシデントの発生状況などの情報を入手することができます。

• ITmedaエンタープライズ（セキュリティ）

• 日経XTECH（セキュリティ）

• piyolog

• Security NEXT

• COMPUTERWORLD (Security)

• The Register (Security)

脅威インテリジェンスサービス

　脅威インテリジェンスのための有用な情報が提供されています。

• IBM Security X-Force

• Open Threat Intelligence Community

• TheatMiner

• RiskIQ PassiveTotal

セキュリティベンダによる脅威予測

　例年、年末年始にかけて各社から翌年の脅威を予測されるレポートが発行されます。

• TrendMicro リサーチペーパー

• Palo Alto Networks Blog

• Sophos Security Threat Report

• Kaspersky News

• Trellix Threat Predictions (旧McAfee Enterprise ＋ 旧FireEye）

• Mandiantセキュリティ動向予測2022

• Darktraceブログ

• Proofpoint Threat Insight

• Cybereasonブログ

• Fortinetブログ

• Broadcomブログ

• Crowdstrike脅威レポート

その他

　解釈を拡げると、以下のようなケースも専門組織との連絡に含まれると考えることができます。

• 自社開発アプリケーションの脆弱性の発見を目的としたバグ報奨金制度（バグバウンティ）の利用
• 専門家による助言を目的としたコンサルタントとの契約（アドバイザリー契約）

まとめ

　今回は、外部のセキュリティの状況を把握するために連絡体制の確立をお勧めする外部組織の一例をあげました。
　連絡体制の確立は、協会等への入会の他に、メーリングリストへの登録やRSSフィーダーによる最新情報の入手、Webサイトの定期的な閲覧等、様々な方法により実現可能です。最近はTwitterなどのSNSにより情報入手する機会も増えているようです。
　情報の収集から評価までの全ての作業を組織内で実施することが難しいケースもあると思います。その場合、アドバイザリー契約のような外部委託や脅威インテリジェンスのような情報提供サービスの利用等、組織に合った方法を選択することができます。
　また、この管理策により入手した情報は、時機を失さずにリスクアセスメント（特にリスク特定に影響を与えます）を実施し、必要な対応を実施することがより重要です。

参考資料

　本稿は、以下のガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい方は以下を参照して下さい。

• ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

• NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations SI-5, PM-15

脚注