見出し画像

経済産業省&IPA発行のガイドラインに“ゼロトラスト”初登場!?経営者に求められるゼロトラストとは・・・!

Cyber NEXT

みなさんこんにちは、セキュリティコンサルタントの高野です。今回は、2023年3月に改訂された、サイバーセキュリティ経営ガイドラインVer3.0に“ゼロトラスト”が初登場したことを取り上げていきたいと思います。

本日の流れ
1.サイバーセキュリティガイドラインの概要
2.ゼロトラスト初登場箇所のご紹介
3.経営者に求められるゼロトラスト

サイバーセキュリティ経営ガイドラインって?

そもそもサイバーセキュリティ経営ガイドラインとは、経済産業省と独立行政法人 情報処理安全機構(IPA)から発行されている、経営者に向けたガイドラインです。

サイバー攻撃から企業を守る観点で、経営者が認識しなければならない「3原則」と、経営者が指示すべき「重要10項目」がまとめられています。

経営者は、セキュリティ対策へ常に目配りする必要があるのでしょうか?

セキュリティ対策は情報システム部に任せているし、セキュリティ教育も人事部に任しているし・・・みんなしっかりやってくれているはず、と思われる方もいらっしゃるかもしれません。

答えはYesです。

セキュリティのリスクは経営リスクの一つとして考える必要があります。最新のセキュリティ脅威や、作業スタイルの変化による、経営を脅かすセキュリティリスクを常に意識して、組織のセキュリティ状況に目配りをお願いします。
昨今サプライチェーンの弱点を突いた攻撃など、自組織に限らず、組織をまたいだ対策が必要であり、経営者がリーダーシップをとってセキュリティ対策を進めていくことは非常に重要です。

初登場の“ゼロトラスト”

2023年3月に改訂されたサイバーセキュリティ経営ガイドライン内の、登場箇所をピックアップしてご説明していきます。

「指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築」にゼロトラストが2回登場!

指示5は、サイバーセキュリティリスクの特定と対策の実装における指示の一つで、以下の指示が記載されています。

⚫ サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析 の各機能を実現する仕組みを構築させる。
⚫ 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。

https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

~させるという表現になっているのは、経営者が担当者へ指示を出すことを想定し、このような表現になっています。
また、各指示は、
・指示の詳細
・対策を怠った場合のシナリオ
・対策例
の構成で記載されており、
・対策を怠った場合のシナリオ に1回
・対策例 に1回
の計2回、 “ゼロトラスト”が登場しているので説明していきます。

対策を怠った場合のシナリオ

対策を怠った場合に以下の文言が追加されました。
ここではゼロトラストモデルの採用など、環境の変化に対する、インシデントを予兆する仕組みの見直しについて言及されています。

・働き方の多様化への対応等、自組織のデジタル環境の見直しの結果、クラウドサービスへの移行や、ゼロトラストモデルの採用などの変更を行っても、インシデントの予兆を検知する仕組みが従来どおりのままでは見逃しや対応の遅れが生じてしまう。

https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

NISTが定義するゼロトラストの7つの基本原則では、「原則5 全デバイスのセキュリティが正しく保たれていることを継続的に監視すること」と定義されています。ですので、ゼロトラストではセキュリティ状態が保たれていることを継続的に監視する必要があります。監視だけしていても、検知する仕組みがないと意味がありませんよね。検知して対処して、セキュリティ状態を元に戻す、この仕組みづくりがゼロトラストでは大切です。

ゼロトラストの定義についてはこちらを参考ください。

対策例

対策例の補足例に以下の文言が追加されました。
ゼロトラストモデルに基づく対策を講じる際の、認証の強化と、検知の仕組みや体制整備について言及されています。

・重要業務を行う端末、ネットワーク、システム又はサービス(クラウドサービスを含む) には、多層防御を実施する。
 - ゼロトラストモデルに基づく対策を講じる際には、境界防御の効果が期待できないことを踏まえた認証等の強化を図るとともに、インシデントの予兆の段階で即時の検知と対象ができるような仕組みや体制を整備する。

https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

NISTが定義する、ゼロトラストの7つの基本原則では、「原則4 リソースへのアクセスは動的なポリシーによって決定されること」と定義されています。ネットワーク境界においても、アクセスごとに時間・場所などの条件を加味するといった、動的な検証による認証の強化が求められています。

経営者に求められるゼロトラスト

今回ご紹介した、サイバーセキュリティ経営ガイドラインでは、ゼロトラスト導入が必須とされていたわけではありませんでした。しかし、経済産業省とIPAから発行されている文書に“ゼロトラスト”が出てくることは、ゼロトラスト自体が世の中に浸透し始めた証拠なのではないでしょうか。
経営者の方々は世の中の変化に加え、セキュリティの変化にもアンテナを張り対応していくことが求められています。

最後に、私がよくセキュリティ情報を収集するサイトをご紹介します。

【YouTube】セキュリティに関連した動画も投稿中!

ライター:高野