見出し画像

SECURITY ACTIONを始めよう~IPA「中小企業の情報セキュリティ対策ガイドライン」のススメ~

Cyber NEXT

今回は、中小企業が情報セキュリティ対策を「できることから始める」ためのノウハウを、シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストがお話しします。


狙われる中小企業

近年、中小企業を狙う「サプライチェーン攻撃」が増加しています。サプライチェーン攻撃とは、関連企業や取引先を踏み台にして、セキュリティが強固な標的企業へ侵入するサイバー攻撃の手法です。踏み台には、情報セキュリティ対策が比較的手薄な、中小企業が狙われる傾向が見られます。

サプライチェーン攻撃の事例

2022年2月、大手製造業者へ部品供給を行う企業が、マルウェア感染の被害を受けたことで部品の提供ができなくなり、製造業者の国内全工場が停止するという事態が起こりました。
部品供給企業が公表した調査報告書では、この企業の子会社が利用するリモート接続機器に脆弱性があり、そこからの不正侵入を経て当該企業のネットワークに侵入し、マルウェアに感染させたと説明されています。

図1 サプライチェーン攻撃の事例

なぜ狙われるのか

攻撃者にとって、セキュリティ対策が比較的強固な大企業より、対策が遅れがちな中小企業の方が侵入は容易です。そこで、まずは関連する中小企業のシステムに侵入し、その企業を装って目的の大企業へ侵入しようとします。外部からの不正通信は遮断できても、内部からのなりすましを識別することは難しく、結果的に突破されてしまうというケースが見受けられます。

図2 サプライチェーン攻撃の仕組み

中小企業の情報セキュリティ対策への取り組みには、「十分な予算が取れない」「スキルを持つ要員がいない」など、多くの壁があるかもしれません。とはいえサイバー攻撃への対策は、中小企業にとっても、いまや捨て置くことのできない喫緊の課題です。

できることから始めよう

「中小企業の情報セキュリティ対策ガイドライン」をご存知でしょうか。独立行政法人情報処理推進機構(IPA)が発行するガイドラインで、中小企業が情報セキュリティ対策を推進するための指針や手法を、分かりやすく解説しています。情報セキュリティ対策をどうやって始めればよいか、お悩みの組織に大変よい導きになると思われます。2024年1月現在は3.1版が公開されており、内容は以下の構成です。

表1 本ガイドラインの全体構成(※1)

また、本編「第2部 実践編」には、組織の状況に合わせて始められるようSTEPごとに活用方法が記載されています。

表2 本編「第2部 実践編」STEP別ガイドライン活用方法(※2)

※1 ※2
出典:独立行政法人情報処理推進機構(IPA)
中小企業の情報セキュリティ対策ガイドライン第3.1版

今回は、ガイドライン中のコラムに記載されている「SECURITY ACTION (セキュリティアクション)」について説明します。

SECURITY ACTION とは

「SECURITY ACTION」は、中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度です。取り組み段階に応じて、「一つ星」「二つ星」のロゴマークを無料で使用し、活動をアピールできます。ロゴマークを使用するには、IPAに申請し受理されることが必要です。

SECURITY ACTION 一つ星を宣言しよう

「一つ星」ロゴマークを使用するには、「情報セキュリティ5か条」(※3)を実施し、組織的な取り組みの開始を宣言します。
 
【情報セキュリティ5か条】
 1.OSやソフトウェアは常に最新の状態にしよう!
 2.ウイルス対策ソフトを導入しよう!
 3.パスワードを強化しよう!
 4.共有設定を見直そう!
 5.脅威や攻撃の手口を知ろう!

SECURITY ACTION 二つ星にステップアップしよう

「二つ星」ロゴマークを使用するには、以下の2つを実施し、組織的な取り組みの開始を宣言します。

  • 「5分でできる!情報セキュリティ自社診断」(※4)で自社の状況を把握

  • 「情報セキュリティ基本方針(サンプル)」(※5)を参考に方針を定め、外部に公開

出典:独立行政法人情報処理推進機構(IPA)
中小企業の情報セキュリティ対策ガイドライン第3.1版 付録
 ※3 情報セキュリティ5か条
 ※4 新・5分でできる!情報セキュリティ自社診断
 ※5 情報セキュリティ基本方針(サンプル)

まとめ

サイバー攻撃は、大企業、中小企業、個人を問わず増加傾向にあります。
「これさえやっていれば完璧」というセキュリティ対策など存在しませんが、攻撃者は日々新しい方法を考え、我々の情報資産を狙います。少しずつでもやれることから進めて、組織を守る仕組みを築いていくことが重要です。ぜひ、SECURITY ACTIONの宣言から始めてみてください。

CEC SOC マネージドセキュリティサービス|マルチベンダー対応可能[Cyber NEXT] (cec-ltd.co.jp)
CEC SOC(Security Operation Center)は「初動対処」「恒久支援」フェーズに対応するセキュリティ運用サービスを提供します。24時間365日体制で監視、異常と判断した際は即座に通報します。調査では必要に応じて周辺装置のログ確認を行い、同一原因による再感染防止の支援を実施します。