ランサムウェアによる被害が発生していることを確認 Computer Security Incident Response Team: CSIRT
Computer Security Incident Response Team
CSIRT:
情報セキュリティに取り組む前に、“事故が起きた”時のCSIRTについて、考えてみましょう。 Computer Security Incident Response Team(CSIRT)は、情報セキュリティに関連する事故発生(インシデント)に対応するチーム、委員会、発生時のProject teamなどです。労働災害(OSHMS)では事故・災害調査委員会(Incident Acccident Investigation Committe)に相当します。初期調査から初動、情報を収集し原因分析、根本原因を探求し、再発防止策、類災防止策までを行います。CSIRTは、企業、団体、学校などの組織単位から、国境を超えケースによりますが、多岐にわたります。組織に属する人全員に関係しています。 組織内CSIRT は、規格の箇条4.3 ISMSMSの適用範囲で発生したインシデントへの対応や、技術的な支援サービス対応を組織の関与する内部、外部、利害関係者(顧客や関連企業、社員含む)に実施します。(OSHMS箇条10.1不適合及び是正処置)
組織内CSIRT の役割
How to Design Safety System by CSIRT
CSIRT の役割 ・インシデント対応や技術支援サービス ・重要な役割は、ユーザーからの事故(インシデント)報告を受けること。・窓口を一本化し、ユーザーがインシデント報告をすることを奨励 ・関連部門または関連委員会(CSR委員会)と適切に関係を保ち、状況に応じた動きをする。インシデントは報告は時には、その情報は”なりすまし”であることがあります。データ改ざん、書類の盗難、情報・電話盗聴などなどの対策もCSIRTの業務です。
こんなこと経験ありませんか。
こんなこと経験ありませんか。 会社のPC(パソコン)で仕事をしてメールにアクセスするとIT部門から、メール添付文書をオープンしないでください!!の警告文、さらにパソコンで仕事をして、気が付くとプロジェクト企画書もe-mailも会議議事録もリストも開けなくなり、「ファイルを取り戻したい、百万支払え」というメッセージが出る。ランサムウェアと呼ばれています。「ランサム」とは「身代金」を意味しており、PC(データ)を人質にとって仕事を妨害し、その解放に身代金を要求する。ランサムウェア対策の必要性が高まっています。 こんな事件がありました、それは、読売新聞 昨年10月にサイバー攻撃を受け、身代金要求型ウイルス「ランサムウェア」に感染し、約2か月間病院機能の一部が停止した徳島県の病院では6月7日、町議会全員協議会で、有識者会議の調査報告書を示し、電子カルテシステムを操作するパソコンのセキュリティー対策ソフトを稼働させていなかったことが明らかになった。 ナゼ? 調査報告書によると、電子カルテシステムにアクセスするパソコンの端末が古く、新しいセキュリティー対策ソフトを入れると、システムの動作が遅くなる恐れがあった、電子カルテの販売事業者の指示で、ソフトの稼働が止められていた。ウイルスは、外部から電子カルテに接続する際に使う機器「VPN」から侵入した可能性が高いとみられています。報告書では「対策ソフトがあれば攻撃は阻止できた可能性がある」とし、組織の危機意識が低く、対策を怠った事業者の責任も重いとのことでした。 病院事業管理者は「調査報告書を踏まえ、事業者側とセキュリティー対策の構築について協議し、再発防止を図っていきたい」と述べたそうです。 ISO/IEC27001及びシリーズ規格を活用し事前防護、未然防止が緊急必須です。
出典:日経ビジネス2023324抜粋
サイバー攻撃対策、最大の脆弱性である「ヒト」の守りを強化せよカギは「人的防御層」、従来の社員教育とは一線を画す新手法に迫る。 DX推進の一方で、急速に高まっているのが情報セキュリティーリスクだ。クラウドや様々な組織のシステムがネットワークでつながる時代、ひとたび脅威が組織内に侵入すれば、その影響は際限なく広がってしまう。 これを防ぐため、各社が様々なセキュリティー対策製品を導入して守りを固めている。ただ一方で、対策が手薄な領域も残っている。それが「ヒト」だ。
近年は、社員の知人や顧客・取引先の担当者になりすまして、フィッシングメールやマルウエアを送りつける手法が横行している。高度なテクノロジーに頼らず、ヒトの心理的な隙や行動のミスにつけ込む手法は「ソーシャルエンジニアリング」と呼ばれ、セキュリティー対策製品では完全に防げない。その対策には社員である「ヒト」のリテラシー向上がカギになる。だが、そこに力を入れている日本企業はまだ少ないのが現状だ。そもそも攻撃者の目的は組織内の情報を盗み出すこと。システムよりもヒトの守りが手薄なら、そこを狙うのは当然だ。このことに気付き、手を打たない限り、ビジネスリスクを低減することは難しいだろう。
では、どうすればヒトの守りを強化できるのか? そこで提唱されているのが、「人的防御層(HDL:Human Defense Layer)」という新たなコンセプトだ。
情報セキュリティマネジメントの国際標準27000シリーズ
組織として情報セキュリティの確保に取り組むための情報セキュリティマネジメントに関する国際規格ですISO/IEC 27000:2018(en)。必読です。
ISO/IEC 27000:情報セキュリティマネジメントに関する概要と用語 ISO/IEC 27001:情報セキュリティマネジメントシステムー要求事項 要求事項は組織のISMS構築、運用に関する第3者認証のための要求事項を記したISMS適合性評価制度の認証基準です。 ISO/IEC 27002:情報セキュリティマネジメントの実践のための規範 規範には、組織のセキュリティ,人的セキュリティ,物理的および環境的セキュリティ,通信および運用管理,アクセス制御,法やルールの順守など,技術,管理,利用,運用などのさまざまな側面から情報セキュリティを守るための実践規範(ベストプラクティス)が述べられています。(つぶやき)非常に参考になります。 ISO/IEC 27003:情報セキュリティマネジメントの実装に関する手引き ISO/IEC 27004:情報セキュリティマネジメントの有効性を評価するための測定に関する手引き ISO/IEC 27005:情報セキュリティリスクマネジメント ISO/IEC 27006:認証/登録プロセスの要求仕様 ISO/IEC 27007:ISMS監査の指針 ISO/IEC 27008:情報セキュリティ制御における監査のガイダンス ISO/IEC 27011:電気通信事業に関する組織がISO/IEC 27002に基づいて情報セキュリティマネジメントを実施する際のガイドライン ISO/IEC 27014:情報セキュリティのガバナンスに関する指針 ISO/IEC TR27015:金融サービスのための情報セキュリティマネジメント指針 ISO/IEC TR27016:情報セキュリティマネジメントに関する組織の経済面の指針 ISO/IEC 27017:ISO/IEC27002 に基づくクラウドサービス向け情報セキュリティ管理策の実践規範ISO/IEC 27000:2018(en)
Information technology — Security techniques — Information security management systems — Overview and vocabulary以下は27000のシリーズではありませんが、必読です、 IEC/ISO 31010:リスクマネジメント−リスクアセスメント技法(Risk management-Risk assessment techniques) ISO 31000:リスクマネジメント−指針 (Risk management-Guidelines) ISO/IEC 38500:情報技術−ITガバナンス (Information technology-Corporate governance of information technology) note:組織の経営陣(オーナー,取締役会の構成員,経営者,パートナー,上級取締役又はその他これらと同等の人)のため,組織内のITの専門家若しくは外部のサービス提供者,組織内の事業部門によってのガバナンスのため)
Design Safety System
