セキュリティアクション(SECURITY ACTION)を宣言したけど具体的にどう運用する?継続的な運用のヒントをご紹介【一つ星(★)編】
今年度もIT導入補助金の申請要件でもあるセキュリティアクション(SECURITY ACTION)。すでに多くの企業が宣言しており、2020年7月には10万件を超えました。
出典:IPAサイトより:セキュリティアクション(SECURITY ACTION)とは?SECURITY ACTION 自己宣言数が 10 万件を突破!
しかし、日本の中小企業は全体の9割以上を占めており350万社以上存在しています。
2017年4月に制度が開始され、その中での10万件を多いとみるか少ないとみるか。。。
今回はセキュリティアクションを宣言したはいいものの具体的にどう運用するか?継続的な運用方法のヒントをご紹介したいと思います!
今回は一つ星(★)編です。
セキュリティアクションの背景と目的
セキュリティアクションとは、全国の商工団体・士業団体、IT 関連団体および関連する施策の実施機関である独立行政法人が、経済産業省、中小企業庁の協力の下、2017年に創設された制度です。
2010年代、サイバー犯罪が年々増加し情報セキュリティに対する関心が高まる一方で、企業側の対策が追いつかない状況が顕在化していました。
マイナンバー制度の運用開始、個人情報保護法の改正、オリンピック開催、テレワーク等働き方改革の促進という世の中の動きからサイバー攻撃・犯罪は年々増加し、被害は更に拡大する懸念も指摘され続けています。
また、ターゲットとして政府機関や大手企業だけでなく、近年では中小企業にまで拡大しサプライチェーンリスク管理の観点からも中小企業の情報セキュリティ対策の普及は重要な課題の一つとされています。
このような背景からセキュリティアクションは中小企業の自発的な情報セキュリティ対策への取り組みを促すことを目的としています。
つまりセキュリティアクションは企業自らの宣言であるということがポイントです。
セキュリティアクション宣言のメリット
企業として情報セキュリティ対策の取組みを見える化することで取組み姿勢をアピールすることができます。その結果、顧客や取引先との関係性強化や、新規顧客の信頼獲得のきっかけに活用することができます。
また今年度もIT導入補助金の申請要件となったように公的補助・民間の支援を受けやすく普及賛同企業から提供される様々な支援策が利用可能になります。
このように宣言する側、賛同する側、双方にメリットがあると言えるでしょう。
出典:IPAサイトより:セキュリティアクション普及賛同企業とは
セキュリティアクションの宣言内容
「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2段階の取り組み目標が用意されています。
出典:IPAサイト:中小企業の情報セキュリティ対策ガイドライン
■1段階目「一つ星」「情報セキュリティ5か条」に取組むことを宣言
1. OSやソフトウェアは常に最新の状態にしよう!
2. ウイルス対策ソフトを導入しよう!
3. パスワードを強化しよう!
4. 共有設定を見直そう!
5. 脅威や攻撃の手口を知ろう
■2段階目「二つ星」
「5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、「情報セキュリティポリシー(基本方針)」を定め、外部に公開したことを宣言
改めてとなりますが、このセキュリティアクションは企業自らが宣言するということがポイントです。認定を受けたり、取得したりするものではありません。あくまで宣言するものとなります。
セキュリティアクションの手続方法
今回は手続き方法が詳しく記載されたリンクのみ掲載いたします。
出典:IPAサイトより:SECURITY ACTION 新規申込み手順書
セキュリティアクション【一つ星(★)】運用のコツ
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう
それでは具体的に、「情報セキュリティ5か条」への取り組みについてみていきたいと思います。これら5ヶ条を継続的・効率的に取り組むポイントをご紹介します。
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
一元管理が可能でサブスクリプション型のツールをお勧めします。近年のウィルス対策ソフトは、パソコン(デバイス)の一元管理機能が付随しているものがあります。これはウィルスの対策状況だけでなく、OSの更新状況や設定情報等も収集できる機能を実装しておりOSの更新とウィルス対策を兼ねて行うことができると考えます。
またこのような特性から従来の買切りではなく、利用台数に応じてサービス利用料として一定期間で課金されるなどサブスクリプション型で販売されているものもあります。利用台数に応じて柔軟にコストを調整することが可能です。
ウイルス対策ソフトの導入を検討する際の要件として、このようにパソコンの状態を把握できる機能や利用形態に注目し製品を選定することをお勧めします。
このように管理形態が一元化され、かつOSの状態、ウィルス対策状態が可視化されることで、管理者には一定の運用スキルが必要となりますが、利用者側での負担が大きく軽減することが可能です。
3.パスワードを強化しよう!
パスワードは様々なサービスやアプリケーション、あらゆる場面で利用されています。確かにパスワードをより推測されない長いものにする、大文字、小文字、記号、数字を含め複雑にする、ということも方法の一つだと思います。
しかしながらほとんどの場合、属人的な管理に依存しているため、「強化」といっても個人任せが現状ではないでしょうか?
そこでポイントになる以下2点の認証方法をご紹介します。
・生体認証の活用
生体認証は指紋、虹彩等身体的な特徴を認証に用いる技術です。最近のスマートフォンにはほぼ標準で実装されていますね。iPhoneなどは、FaceIDをアプリケーションの起動に紐づけるなどの設定が可能です。
生体認証の精度は近年では高精度なものとなり、ここまでの普及を見せました。加齢や身体的な特徴の自然変化によって認証されない場合もあるため、生体認証も完璧な認証とは言えません。
・多要素認証の活用
例えば、パスワードでログインした後、あらかじめ登録したメールアドレスなどに認証コードが送付される、または登録されたトークンに認証コードが送付されるなどといったように、一つ以上の認証要素を用いることを多要素認証と言います。
これはアカウントの乗っ取りが多発した数年前からSNSなどのサービスには標準的に実装されています。
しかし、これもスマートフォン自体が盗難されたり、メール情報を盗聴されてしまっては完璧な認証は行えません。
完璧な認証はありません。当然パスワードだけでは限界があります。不完全な認証でも方法を掛け合わせることで、強度をあげることは可能です。また既に普及している認証は利用者のリテラシーも一定以上あるため、運用の負荷も削減でき継続という観点では有効性の高い手法と言えるでしょう。
4.共有設定を見直そう!
USBなどの物理的な記憶媒体はウィルスを媒介させる可能性が高いため、利用を禁止する企業が増えています。その一方でデータをクラウドサービスを使ってやりとりをするケースが増えています。
いきなりデータに対する共有設定やアクセス制御をする前に、組織内での権限を明確にする必要があると筆者は考えます。
シンプルなものが、利用者とシステム管理者。他にも利用者、決済者、システム管理者。等、社内の部門や役職に応じてどのような「権限」が必要かを明確にします。もちろん、退職者などのデータが残っていないかなどの確認も大切です。
その上で、データの共有設定やアクセス権を整理します。ポイントは以下の2点です。
・利用できるクラウドサービスは限定する。
様々なクラウドサービスにデータを分散保管するのは効率的ではありません。なぜならサービス毎に利用規約が異なるため、運用管理する上での前提条件が微妙に異なってしまうためです。もしバックアップなどの用途であれば、ローカル管理のように自前での準備でも良いでしょう。
・物理システムは初期設定の放置を回避する。
物理システム(よくオンプレと呼ばれるシステム)はほとんどの場合、初期設定がされています。この初期設定はインターネット上のメーカーサイトでも公表されており、脆弱性になり得ますので必ず変更してください。
このように継続性に重点を置いたとき、クラウドも物理もシステムに対し細かい設定を行う前に、権限の明確化と不要アカウントの整理に重点を置くべきです。
5.脅威や攻撃の手口を知ろう!
一昔前は情報セキュリティの情報は専門機関から情報収集しなければいけませんでしたが、近年有名ニュースサイトや大手ポータルサイトで「IT」とカテゴライズされた情報でも収集は十分可能と考えます。それだけ情報セキュリティのインシデントは身近なものになったと言えるでしょう。
上記に加え利用しているクラウドサービスの案内と、最低1箇所のセキュリティ専門機関(IPAなど)のウェブサイトやメールマガジンへの登録をお勧めします。
日々セキュリティ情報は更新され脆弱性情報は滝のように溢れています。必要な情報を抽出するだけでも大変な負担です。
最低限、一般的なニュースサイト、自身が使っているクラウドサービスの案内、専門機関をチェックで十分です。どうしても気になる情報があれば、都度深追いすればいいでしょう。
まとめ
いかがでしたでしょうか。繰り返しになりますが、セキュリティアクションは企業自らが宣言するということがポイントです。
宣言することで、自らの取組み姿勢をアピールし、顧客や取引先との信頼関係の構築や、新規顧客の信頼獲得のきっかけ、公的補助・民間の支援を受けやすくなります。
しかし同時に宣言したにもかかわらず情報漏洩などといったセキュリティインシデントが発生してしまうと、相当なダメージを受けてしまいます。
しっかりと継続的に運用できるよう取り組みの内容を検討してみてはいかがでしょうか?
次回は二つ星(★★)についての運用のコツを掲載予定です。