海の向こうの“セキュリティ”

中小企業のシステムやビジネスをセキュアにするための12のステップ

「サイバーセキュリティガイド」をENISAが公開

ENISAによる中小企業向けサイバーセキュリティガイド

 欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)は、中小企業におけるサイバーセキュリティの課題と提言をまとめた報告書「Cybersecurity for SMEs - Challenges and Recommendations」と、その結果をもとに中小企業がシステムやビジネスをよりセキュアにする方法を12のステップに簡潔にまとめたサイバーセキュリティガイド「Cybersecurity guide for SMEs - 12 steps to securing your business」を公開しました。なお、EUには2500万の中小企業があり、計1億人以上を雇用しているそうです。

 今回の資料はEU/EEA(European Economic Area:欧州経済領域)域内(= EU加盟国+アイスランド、リヒテンシュタイン、ノルウェー)の中小企業を対象として作成されたものですが、その内容は一般的であり、概ねどこの国や地域の中小企業でも適用可能なものとなっています。

 今回はサイバーセキュリティガイドとしてまとめられた12のステップを紹介します。なお、このガイドは比較的平易な英語で書かれており、表紙などを除けばわずか10枚のスライドにコンパクトにまとめられています。

 全体の構成は以下の通り。なお、カッコ内は参考訳です。

・STEP1 DEVELOP GOOD CYBERSECURITY CULTURE(優れたサイバーセキュリティ文化の構築)
- ASSIGN MANAGEMENT RESPONSIBILITY(管理責任の割り当て)
- GAIN EMPLOYEE BUY-IN(従業員の同意の獲得)
- PUBLISH CYBERSECURITY POLICIES(サイバーセキュリティポリシーの発表)
- CONDUCT CYBERSECURITY AUDITS(サイバーセキュリティ監査の実施)
- REMEMBER DATA PROTECTION(データ保護を忘れずに)

・STEP2 PROVIDE APPROPRIATE TRAINING(適切なトレーニングの提供)

・STEP3 ENSURE EFFECTIVE THIRD PARTY MANAGEMENT(効果的なサードパーティ管理の徹底)

・STEP4 DEVELOP AN INCIDENT RESPONSE PLAN(インシデント対応計画の策定)

・STEP5 SECURE ACCESS TO SYSTEMS(システムへのアクセスのセキュア化)

・STEP6 SECURE DEVICES(デバイスのセキュア化)
- KEEP SOFTWARE PATCHED AND UP TO DATE(ソフトウェアにパッチを適用して最新の状態に保つ)
- ANTI-VIRUS(アンチウイルス)
- EMPLOY EMAIL AND WEB PROTECTION TOOLS(電子メールとウェブの保護ツールの採用)
- ENCRYPTION(暗号化)
- IMPLEMENT MOBILE DEVICE MANAGEMENT(モバイルデバイス管理の実施)

・STEP7 SECURE YOUR NETWORK(ネットワークのセキュア化)
- EMPLOY FIREWALLS(ファイアウォールの採用)
- REVIEW REMOTE ACCESS SOLUTIONS(リモートアクセスソリューションの見直し)

・STEP8 IMPROVE PHYSICAL SECURITY(物理的セキュリティの改善)

・STEP9 SECURE BACKUPS(バックアップのセキュア化)

・STEP10 ENGAGE WITH THE CLOUD(クラウドとの連携)

・STEP11 SECURE ONLINE SITES(オンラインサイトのセキュア化)

・STEP12 SEEK AND SHARE INFORMATION(情報の収集と共有)

これらの12の項目の中から、いくつかをピックアップして紹介します。

STEP1 優れたサイバーセキュリティ文化の構築

管理責任の割り当て

 優れたサイバーセキュリティは、あらゆる中小企業の継続的な成功のための重要な要素である。この重要な機能に対する責任は、組織内の者に割り当てられるべきであり、担当者の時間、サイバーセキュリティ・ソフトウェア、サービス、ハードウェアの購入、スタッフのトレーニング、効果的なポリシーの策定など、適切なリソースがサイバーセキュリティに与えられるようにする必要がある。

従業員の同意の獲得

 経営陣がサイバーセキュリティに関する効果的なコミュニケーションを行い、経営陣がサイバーセキュリティの取り組みを率直に支持し、従業員に適切なトレーニングを実施し、サイバーセキュリティポリシーに記載された明確で具体的なルールを従業員に提供することで、従業員の同意を得る。

サイバーセキュリティポリシーの発表

 会社のICT環境、機器、およびサービスを使用する際に、従業員がどのように行動することが期待されるかについて、明確かつ具体的なルールをサイバーセキュリティポリシーで説明する必要がある。また、これらのポリシーは、従業員がポリシーを遵守しなかった場合に直面し得る結果を強調する必要がある。ポリシーは定期的に見直し、更新する必要がある。

サイバーセキュリティ監査の実施

 定期的な監査は、適切な知識、スキル、経験を有する者が実施すべきである。監査人は、外部の契約者または中小企業の内部の者で、日常のIT業務から独立した者でなければならない。

データ保護を忘れずに

 EU一般データ保護規則(GDPR:General Data Protection Regulation)に基づき、EU/EEA居住者の個人データを処理または保存する中小企業は、そのデータを保護するために適切なセキュリティ管理が行われていることを確認する必要がある。これには、中小企業に代わって業務を行う第三者が、適切なセキュリティ対策を講じていることも含まれる。

STEP5 システムへのアクセスのセキュア化

 パスフレーズの使用を全員に奨励する。パスフレーズとは、一般的な単語をランダムに3つ以上組み合わせたフレーズのことで、覚えやすさとセキュリティのバランスが非常に優れている。一般的なパスワードを使用する場合は以下の点に注意すること。

- 小文字と大文字、可能であれば数字や特殊文字も使って長くする。

- 「password」のような分かりやすいもの、「abc」のような文字や数字の羅列、「123」のような数字は避ける。

- ネット上で見つけられるような個人情報の使用は避ける。

 また、パスフレーズやパスワードのどちらを使う場合でも以下の点に注意すること。

- 他のところで再利用しない。

- 同僚と共有しない。

- 多要素認証を有効にする。

- 専用のパスワードマネージャーを使用する。

STEP8 物理的セキュリティの改善

 重要な情報が存在するところでは、適切な物理的管理を行う必要がある。例えば、会社のノートPCやスマートフォンを車の後部座席に放置してはいけない。また、ユーザーがコンピューターから離れる際には常にロックをかける必要がある。もしくは、業務目的で使用するデバイスではオートロック機能を有効にする。また、機密性の高い印刷文書も放置せず、使用しないときはセキュアに保管する。

STEP9 バックアップのセキュア化

 重要なフォーメーション(組織編成)の復旧を可能にするためには、ランサムウェア攻撃などの大惨事から復旧するための有効な手段であるバックアップを維持する必要がある。以下のバックアップルールを適用すること。

- バックアップは定期的に行い、可能な限り自動化する。

- バックアップは中小企業の本番環境とは別に保持する。

- バックアップは、特に拠点間で移動する場合は、暗号化する。

- バックアップからデータを定期的にリストア(復元)できるかテストする。理想的には、最初から最後までのフルリストアのテストを定期的に行うべきである。

STEP10 クラウドとの連携

 クラウドベースのソリューションには多くの利点がある一方で、いくつかの固有のリスクがあり、それらを中小企業はクラウド事業者と連携する前に検討する必要がある。ENISAは中小企業がクラウドに移行する際に参考にすべき「中小企業のためのクラウドセキュリティガイド」を発行している。

ENISA(2015年4月10日)Cloud Security Guide for SMEs

 クラウド事業者を選定する際には、中小企業は、データ、特に個人データをEU/EEA域外に保存しても、いかなる法律や規制にも違反しないことを保証する必要がある。例えば、EUのGDPRでは、EU/EEA域内の居住者の個人データは、よほど特殊な事情がない限り、EU/EEA域外に保存・送信しないことが定められている。

STEP12 情報の収集と共有

 サイバー犯罪との闘いにおける効果的なツールは情報の共有である。中小企業が直面するリスクをより良く理解するためにはサイバー犯罪に関する情報を共有することが重要である。サイバーセキュリティ上の課題とその克服方法を同業他社から聞いた企業は、業界レポートやサイバーセキュリティ調査で同様の内容を聞いた場合よりも、自社のシステムをセキュアにするための措置を取る可能性が高くなる。

 GDPR(General Data Protection Regulation:一般データ保護規則)というEU独自のものも含まれていますが、EU域外でも、それぞれの国や地域で定められた、個人情報の取り扱いに関する同様の規制や法律に読み替えれば、いずれの内容も十分に適用できる内容となっています。もちろん、中小企業とは言っても千差万別ですので、これらの項目の全てを達成するのが極めて難しかったり、また場合によっては不要と判断される項目もあったりするでしょう。今回のガイドは当然ながら「絶対の解」ではないので、あくまで1つの「目安」として捉え、まずはできるところから手を付けてみるなど、上手に工夫して利用してください。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。