はじめに
情報セキュリティのための管理策の中で組織的対策として分類されている「専門組織との連絡」について、主要なガイドラインを参考に自分なりに解釈した内容をなるべく具体的に残しておきます。
「専門組織との連絡」とは?
先ずは管理策の本質を理解するために、ISMSに基づく管理策の指針として活用されることの多い ISO/IEC 27002:2022 にどのように記載されているかを確認してみます。
ISO/IEC 27002:2022 5.6 Contact with special interest groups から引用
Purpose:
To ensure appropriate flow of information takes place with respect to information security.
管理目的:
情報セキュリティに関して適切な情報の流れが行われるようにするため。
Control:
The organization should establish and maintain contact with special interest groups or other specialist security forums and professional associations.
管理策:
情報セキュリティに関する研究会又は会議,及び情報セキュリティの専門家による協会・団体との連絡体制を確立し、維持することが望ましい。
※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正
上記から、求められているであろうことが「組織外部の情報セキュリティ環境に対する認識を適切に更新するため、情報セキュリティ関連の研究会、会議、専門家による協会・団体との連絡体制を確立・維持し、最新の情報を入手する」と解釈できます。 次項で最新の情報入手先の具体例を考えてみます。
具体的な実施例
例えば、組織で定めた情報セキュリティ目的が、「情報セキュリティを維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与える」とされている場合、この ”リスクを適切に管理” するための一つの方策として「外部の変化に対し時期を失さずリスクアセスメントを行い、その結果へ適切に対応する」ことが考えられます。
上記の考え方に基づいて行動するためには、外部環境の変化を察知するためにどのような情報が必要なのか特定し、その情報を入手し得る専門組織との連絡体制*1を確立することが求められます。
上記に従い、国内の専門組織の例と主に得られる情報を以下に示します。
公的機関による注意喚起情報他
注意喚起情報の他にもセキュリティ政策に係るガイドラインなど幅広く情報が発信されています。
セキュリティに関する情報を発信している団体
様々なセキュリティに関連する有用な情報(脆弱性情報、脅威動向、技術的な対策方法、電子政府推奨暗号リストなど)が発信されています。
JPCERTコーディネーションセンター
フィッシングに関する最新の攻撃情報が、フィッシング対策協議会から発信されています。
各業界団体のISAC (Information Sharing and Analysis Center)
主にサイバーセキュリティに関する情報共有を目的に各業界ごとに設立されています。競合他社との情報共有により、攻撃の傾向に対する監視範囲の拡大、脅威に対する連携防御が期待できます。
専門家の育成と認定を行う団体
CISSP、CISA・CISM、CEHなど、セキュリティに関する専門資格は多く存在します。また、資格保有者は継続教育研修 (CPE: Continuing Professional Education)が義務付けられており、スキル維持のためのセミナー等が提供されています。
セキュリティに関連する学会
入会により論文の閲覧等、様々な情報の共有が可能になります。
脆弱性情報公開サイト
ソフトウェアの脆弱性情報が公開されています。
脆弱性公開サイトとは別に アプリケーションベンダのサイトでも脆弱性と対応状況を確認することができます。
エクスプロイトデータベース公開サイト
対象の脆弱性に対する エクスプロイト公開状況を確認することができます。
セキュリティニュース(ブログ)
セキュリティに関連するインシデントの発生状況などの情報を入手することができます。
脅威インテリジェンスサービス
脅威インテリジェンスのための有用な情報が提供されています。
セキュリティベンダによる脅威予測
例年、年末年始にかけて各社から翌年の脅威を予測されるレポートが発行されます。
Trellix Threat Predictions (旧McAfee Enterprise + 旧FireEye)
その他
解釈を拡げると、以下のようなケースも専門組織との連絡に含まれると考えることができます。
まとめ
今回は、外部のセキュリティの状況を把握するために連絡体制の確立をお勧めする外部組織の一例をあげました。
連絡体制の確立は、協会等への入会の他に、メーリングリストへの登録やRSSフィーダーによる最新情報の入手、Webサイトの定期的な閲覧等、様々な方法により実現可能です。最近はTwitterなどのSNSにより情報入手する機会も増えているようです。
情報の収集から評価までの全ての作業を組織内で実施することが難しいケースもあると思います。その場合、アドバイザリー契約のような外部委託や脅威インテリジェンスのような情報提供サービスの利用等、組織に合った方法を選択することができます。
また、この管理策により入手した情報は、時機を失さずにリスクアセスメント(特にリスク特定に影響を与えます)を実施し、必要な対応を実施することがより重要です。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報が欲しい、正確性を重視したい方は以下を参照して下さい。
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
NIST SP800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations SI-5, PM-15