最も効果的な情報セキュリティフレームワークを構築する方法

世界最高の規格と情報セキュリティ (INFOSEC) ツールを活用した強力な情報セキュリティの枠組みで、サイバー攻撃に対する最も包括的な防御を構築

「情報セキュリティの枠組み」という用語にははさまざまな解釈があります。そのため、INFOSEC の分野では複数の基準が重なって施行されています。

規格によって、合法性を維持するために厳密な適合が義務づけられているものと、実際には自主的な遵守の要請に過ぎないが、業界で重要視されているものがあります。これらの義務付けられた規格と自主基準について十分な情報を得て、適切な脆弱性評価と阻止ツールの導入と併せて採用する最善の方法を決定することが賢明です。

ISO 標準 : 確固たる基盤

すべての主要産業のためにガイドラインを制定している国際標準化機構 (ISO) は、INFOSEC を対象にいつくか標準を作成しています。ISO 27001¹、ISO 27701² は、両方とも、国際電気技術委員会と共同で作成されました。

ISO 27001　 情報セキュリティをリスクを中心に捉え、継続的に危険となりうるものを特定し、制御方法を選択して適切に対処するアプローチを基盤として考案された標準です。ISO 27001 における INFOSEC の制御方法は、次のカテゴリに区分されています。セキュリティ方針の明文化、人材管理のセキュリティ、資産管理、アクセスコントロール、暗号技術、物理的および環境に関するセキュリティ、インシデント管理、ビジネス継続管理 (BCP)、法令との適合³。

ISO 27701 　データのプライバシー問題に特化した標準です。2019 年の改訂は、その前の年に発効された欧州連合の GDPR (一般データ保護規則)に直接対応するものでした。この標準は、個人を特定できる情報 (PII) の保護をすべてのセキュリティリスク評価に盛り込む義務を制定し、企業のデータ処理やコントロール責任者に、その保護を最高の優先度とすることを要求しています⁴。

中小企業であろうと、世界各地に拠点を持つ大企業であっても、顧客の個人情報だけでなく、従業員の個人情報も保護する責任があります。これらの国際標準だけで企業の INFOSEC の取り組み全体が構成されるものではありません。実際、それだけでは非適合な側面が生じる場面もありえます。しかし、ISO 適合証明を取得することは、どのようなビジネスであっても、その情報セキュリティプログラムの確固たる基盤となります。(ISO 27001 のプラクティスと Tenable.sc などのようなツールの組み合わせで、INFOSEC を脅かす脅威に対して特に効能のある防御が構成できます。) 

CIS のベンチマーク : INFOSEC 専門家のためのガイドライン

CIS (米国 Center for Internet Security) は、INFOSEC の取り組み方の促進を専門にする NPO で、そのガイドラインやベンチマーク⁵を「ITシステムとデータを最も広範囲に侵略する攻撃から守るための …グローバル基準」と称しています⁶。

CIS のベンチマークが「詳しい」というのは大幅な過小評価で、例えば Windows 10 エンタープライズの最新版の手引きは 1312 ページに及び、Windows　OS の各要素について記載があります。CIS の ベンチマーク集にまず目を通し、対象となる運用形態に最も関係の深い文書を探し当ててゆっくりと内容を吟味しながら、各企業個別のニーズを満たす、理想的な情報セキュリティの枠組みを考案していくことが賢明でしょう。

産業と政府によって義務付けられた標準

業界の管理団体、または政府によって、次のすべてに対する遵守が違反に対する罰則規定とともに要求される場合があります。対象となる企業は、これらの規則を情報セキュリティプログラムの一部とする必要があります。

HIPAA 米国で個人の健康に関する情報を取り扱う場合は、ヘルスケアプロバイダとして直接関与する場合でも、企業の従業員管理の一部となる第三次資料を扱う場合であっても、HIPAA (医療保険の携行性と責任に関する法律) のセキュリティ規則に従う義務があります。⁷ この法律によって、すべての電子媒体に保存されている個人情報に対する「行政的、物理的、技術的な処置による保護」の確立が義務付けられています。

HIPAA は、特定のINFOSEC プラクティスやツールの使用を指示していません。(このため、情報セキュリティの枠組みの作成に複数の基準の活用が必要になるのです。) しかし、この法律の罰則は解釈に左右されることのない、明確なものです。100ドルから150万ドルまで、企業の責任の程度によって罰金が設けられています⁸。

PCI DSS デビットカードやクレジットカードによる支払いを処理する企業、政府機関やNPOは、Visa、MasterCard、American Express⁹ の 3 社によって作成されたPCI DSS (支払いカード業界のデータ安全標準) に従う義務があります。 PCI DSS には、ファイヤーウォールの構成や暗号化に絡む特定の要求事項があります。HIPAA のように違反すると罰金が科せられますが (政府、民間に関わらず¹⁰)、1 回きりの罰金ではなく、違反した当事者が関連のプラクティスを是正するまで、月々罰金が累積されるしくみがあります。

NIST 米国の連邦政府と有利なビジネス契約を締結したい場合は、NIST (国立標準技術研究所) の独自のサイバーセキュリティフレームワークの採用が望まれます¹¹。 しかし、NIST の制定する情報セキュリティの基本ステップは、どのような企業にとっても間違えなく頼りになる基盤を構築します。サイバーセキュリティの脅威の識別、適切な保護処置の先行的な実装、ネットワーク上の異常な動作の検索と検知、侵害が発生した場合、即時に対応し、封じ込め作業とデータ回復を実行すること¹²などが指定されています。

DISA DISA (米国国防情報システム局)のセキュリティの技術実装ガイド¹³ は、国防省のみが義務付けられている内容ですが、ほかのどのような INFOSEC プロトコールよりも頻繁に更新されているので、各企業の枠組みの構築に役立つ優秀なリソースです。

GDPR 　欧州連合加盟国の居住者の個人情報の取得または処理を行う場合に適用されます¹⁴。 ほぼすべての現代的な企業や組織が、GDPR 標準を一部なりとも徹底させる必要があるでしょう。

セキュリティの枠組みの考案と展開

セキュリティの枠組みの構築の第一歩は、資産の完全な可視化を得ることです。どのような枠組みにするとしても、見えないものは保護できません。脆弱性評価または脆弱性管理ソリューションがあれば、ネットワーク上の資産の全容が把握できます。

理想的な情報セキュリティの枠組みの作成の準備ができたら、まず、法的に義務付けられた規格 (HIPAA, GDPR, NIST) を先に検討し、次に、違反した場合、収支面で不利になる規格 (PCI DSS)を検討するとよいでしょう。 その次に、自社に価値をもたらすものから検討します。

例えば、ISO 27001 がだいたいの INFOSEC の必要条件を満たしているが、Amazon Web Service でホストしている資産の保護については CIS の包括的なガイドラインが役に立つなど、関連性のある CIS 規格を採用することは、クラウド運用を害することはなく、役に立つ場合が多いでしょう。その他の自主証明制度は、自社のビジネスに直接適用しなくとも、ガイドラインを活用するかどうか決める前に理解しておくことも重要です。 また、脆弱性のスキャン機能、ペネトレーションテスト、脅威モデリングなどの手法を使って、構成を変えた場合、被害を与えるような攻撃にどう反応するか予測することも最も重要です。

実行には適切なツールが必要です。Tenable にお任せください。Nessus Proは、業界を先導する脆弱性評価ソリューションです。多くの情報セキュリティ枠組みを理想的に補完できる、企業独自のアプローチにも対応できるものです。または、特定のプロトコールの準拠に適したソリューションとして 2 種類の Tenable.sc が ISO 27001 の適合に対応しており、Tenable.io のPCI ASV タイプもあります。

詳細を確かめて、特定の ニーズにマッチした製品をお選びください。

Nessus の無料試用を始める

_{1. ISO, "ISO/IEC 27001 Information Security Management"
2. ISO, "ISO/IEC 27701:2019 Security Techniques," August 2019
3. IT Governance Blog, "ISO 27001: The 14 Control Sets of Annex A Explained," July 2020
4. IT Governance USA, "ISO 27701: Privacy Information Management Systems"
5. Center for Internet Security, "CIS Benchmarks"
6. Center for Internet Security, "About Us," July 2020
7. American Medical Association, "HIPAA Security Rule & Risk Analysis," December 2019
8. Modern Healthcare, "HHS to Cap HIPAA Fines Based on 'Culpability'," April 2019
9. PCI Security Standards Council, "Maintaining Payment Security"
10. FivePoint Payments, "Do Governments Need to Maintain PCI Compliance?", February 2018
11. National Institute of Standards and Technology, "NIST Cybersecurity Framework"
12. IT Governance USA, "What is the NIST Cybersecurity Framework?"
13. DoD Cyber Exchange, "Security Technical Implementation Guides (STIGs)"
14. GDPR.eu, "Does the GDPR apply to companies outside of the EU?"}