情報セキュリティ10大脅威にISMSで立ち向かう！（後編）

＜この記事で知れること＞
・ISMSを活用した情報セキュリティ10大脅威への立ち向かい方

前回から引き続き、IPAの「情報セキュリティ10大脅威」それぞれの脅威はISMSのどの取り組みで立ち向かうことができるのか考えていきます。

「情報セキュリティ10大脅威について」「ISMS規格について」そして「10位から6位の立ち向かい方」については前回の以下記事で確認できます！

ISMSを活用した情報セキュリティ10大脅威への立ち向かい方！

では本題の5位から1位の脅威への立ち向かい方を見てみましょう！

5位 テレワーク等のニューノーマルな働き方を狙った攻撃

脅威の概要
テレワークの普及に伴う、ウェブ会議サービスやVPN等が本格的に活用されるようになったことを狙った攻撃。

「6.7 リモートワーク」
要員が遠隔で作業する場合のセキュリティ対策を実施しましょうという管理策。
リモートワーク場所での情報処理による漏えいを防ぐための働き方のルールや対策を行うことであり、この脅威そのもののことを考えている管理策であると言えるでしょう。

「8.20 ネットワークセキュリティ」
「8.21 ネットワークサービスのセキュリティ」
ネットワークやネットワークサービスを管理、制御したり、必要な機能実装などを行いましょうという管理策。
リモートワークで社外から社内ネットワークなどに接続するという状況が生じたいま、業務上どのようなネットワーク経路が想定されるのか整理し、必要な対策を考えるきっかけになります。

4位 内部不正による情報漏えい

脅威の概要
従業員や元従業員等の組織関係者による情報持ち出しや悪用等の不正行為。

「5.3 職務の分離」
相反する職務や責任範囲は分離しましょうという管理策。
内部不正につながるような作業については、承認者を分けるなどすることで従業者が不正を行いづらい環境づくりにつながります。

「6.4 懲戒手続」
ルール違反に対する懲戒手続を定めて伝達しましょうという管理策。
懲戒手続を行使しないに越したことはないですが、手続きを整備しておくことで、不正を考えている人の抑止力や何か起きた際に対応しやすくなります。

「6.2 雇用条件」
「6.6 秘密保持契約又は守秘義務契約」
責任や遵守すべきルールについてしっかり書面で合意しておきましょうという管理策。
合意がなければ、不正を行われてもそれが不正という認識がなかったという言い逃れをされる可能性があるため、明確にしておくことが大切です。

「8.15 ログ取得」
「8.16 監視活動」
ログの取得や、異常検知のための監視をしましょうという管理策。
異常検知のための監視をしておくことで不正行為に気付ける可能性が高まったり、ログを取得しておくことで不正があっても誰による不正かなど追跡することができるようになります。

3位 標的型攻撃による機密情報の窃取

脅威の概要
特定の組織を狙って、社会の変化や働き方の変化に便乗し、状況に応じた攻撃手法で機密情報等を窃取しようとする攻撃。

「5.24 情報セキュリティインシデント管理の計画策定及び準備」
インシデント管理のためのプロセスや役割などを整備しておきましょうという管理策。
日常的に利用するメールなどが特に利用されるなど身近に起きやすい脅威であり、また、ウイルス感染などにより被害が拡大する可能性もあるため、最小限の被害にとどめるためにも対応プロセスを整備することが望ましいです。

「8.7 マルウェアに対する保護」
マルウェアに対する保護の取り組みや、認識を持たせましょうという管理策。
標的型攻撃はマルウェアが含まれた添付ファイルやそのようなデータをダウンロードさせるサイトへのリンク添付なども多く行われるため、マルウェア対策も標的型攻撃の被害を起こさないために重要です。

2位 サプライチェーンの弱点を悪用した攻撃

脅威の概要
ターゲットの組織ではなく、その組織の商流に関わるセキュリティが脆弱な組織を狙うことで、本来ターゲットとしている組織に被害を与える攻撃。

「5.19 供給者関係における情報セキュリティ」
「5.20 供給者との合意における情報セキュリティの取扱い」
「5.21 情報通信技術（ICT）サプライチェーンにおける情報セキュリティの管理」
「5.22 供給者のサービス提供の監視、レビュー及び変更管理」
「5.23 クラウドサービスの利用における情報セキュリティ」
これらは全体的に供給者を管理するためのプロセス整備や合意を行いましょうという管理策。
ISMSの管理策は基本的に自分たちの組織のセキュリティレベルを上げるためのものですが、サプライチェーンに関する脅威は供給者にもセキュリティを求めることが重要になります。

1位 ランサムウェアによる被害

脅威の概要
ランサムウェアに感染させ、データの暗号化や情報窃取を行うことで、身代金を支払わせようとする攻撃。

「5.6 専門組織との連絡」
「5.7 脅威インテリジェンス」
情報セキュリティに関する専門家などとの連絡体制の整備や、脅威情報の収集・分析・活用などを行いましょうという管理策。
ランサムウェアについては、攻撃手法の情報収集を行うことで被害に遭わないようにしたり、また被害に遭った場合もランサムウェアによっては復号ツールが提供されていたりするので、重要な取り組みになります。

「5.24 情報セキュリティインシデント管理の計画策定及び準備」
インシデント管理のためのプロセスや役割などを整備しておきましょうという管理策。
ランサムウェアも、標的型などと同じように攻撃にメールが利用されたり、最初の感染からさらに拡大するリスクなどがあるため、被害を最小限に食い止めるという観点からも準備が重要になります。

「8.7 マルウェアに対する保護」
マルウェアに対する保護の取り組みや、認識を持たせましょうという管理策。
ランサムウェアもマルウェアの一種であり、マルウェア対策はランサムウェア対策に直結することになります。

「8.13 情報のバックアップ」
「8.14 情報処理施設・設備の冗長性」
バックアップの維持・検査や、施設・設備等の冗長化などを行いましょうという管理策。
ランサムウェアの被害の特徴に一つにデータを暗号化させて使えなくするというものがあります。重要な情報やシステムについてはバックアップや冗長化を行っておくことで、身代金を支払うという選択肢を選ばずに済む可能性も高くなるかもしれません。

まとめ

今回は後半として、情報セキュリティ10大脅威2023の5位から1位の脅威に対して、ISMSでどのように立ち向かうことができるのか整理してきました。

前回のまとめでも少し述べましたが、普段ISMSで行っている取り組みがどのような脅威に対応できているのか知ることで取り組む意義などを感じられるかもしれません。