みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。私たちが小さい頃の2022年って、めっちゃ未来でツルッツルの銀色の服を着て、チューブの中を空飛ぶ車が走ってるって思ってませんでした?実際の2022年は、全然そんなことなくて残念ですよね。でも「サイバー攻撃集団がランサムウェアで企業をサイバー攻撃、BitCoinで身代金を要求する」のような、逆に未来感溢れるニュースも時々話題になっています。ニューロマンサーの世界観じゃん・・・さてそんな今日は、「ISMSでサイバー攻撃は防げるの?」というお話です。そもそもISMSは何をカバーするもの?ISMS=情報セキュリティマネジメントシステムは、情報資産のセキュリティを、リスクマネジメントプロセスによって管理する仕組みのことです。ISMSってなんぞや?って方はこちらをご覧ください。%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fblog%2Fisms-certification-overview-jp%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FkRwna6X%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3EISMSがカバーするのは、情報資産に関連するセキュリティです。当然、サイバー攻撃からデータを保護することも、範囲に含まれています。でも、企業の担当者としてISMS認証を取得された方や、セキュリティマネジメントを担当している方は「こんなんで本当にニュースに出てくるようなサイバー攻撃防げるの?」と疑問を感じている人も多いのではないでしょうか?サイバー攻撃対策の専門家に聞いてみる弊社の事業部の責任者でもあり、防衛省・自衛隊でセキュリティを担当していた社長の粟津が、割と本当にサイバー攻撃の専門家なので、聞いてみました。 私:「ISMSでサイバー攻撃って防げるもんなんですかね」粟津:「場合によりますね、サイバー攻撃って言っても色々だし、ISMSも「何をしろ」というより自分たちの社内のPDCAの仕組みをちゃんとしようね、という話なので」 私:「じゃぁ防げるサイバー攻撃ってあります?」粟津:「それ話すと長いんだけど、話していいの?」(以下、1時間ぐらい)で、色々と説明してもらった結果、まとめるとこんな感じでした!サイバー攻撃には、無差別に攻撃する場合とターゲットを絞る攻撃する場合がある無差別に攻撃する場合は、セキュリティの基本動作をちゃんとしていれば防げることが多いISMSの中でセキュリティの基本動作が従業員や情報システムに適応されるようになっていれば、ある程度はサイバー攻撃を防げるどうやら、ISMSがどうのこうの、と言うよりも、ISMSのマネジメントの中で、セキュリティの基本動作と呼ばれるようなものを従業員に徹底できるようにしているかが重要なようでした。セキュリティの基本動作たびたび出てきた「セキュリティの基本動作」とは、サイバーセキュリティの中で最も基本となるような普段の心がけや設定のことだそうです。環境や時代によっても異なるとのことですがパスワードを使い回ししない不審なメールを開かない・リンクやファイルをクリックしないパソコンやスマホのOSやアプリを常に最新版にアップデートするおかしいなと思ったらセキュリティ担当者に連絡するPCやUSBメモリを亡失したり盗難されたりしないようにするアクセス権を最小限に設定するといった内容が代表的とのこと。私はもっと「ファイアウォールの設定がこう」「エンドポイントのセキュリティがこう」といったような難しい内容を想像していたんですが、基本動作は思ってたよりシンプルですね。これであれば、どなたにもできそうです。ISMSに組み込むには?こういったセキュリティの基本動作をISMSで実現しようとするとセキュリティ教育で基本動作を従業員にしっかり啓蒙する業務用のPCやスマートフォンのセキュリティアップデートがオンとなる設定とするセキュリティ担当者に連絡ができる体制づくりを心がける規程でアクセス権を最小とするように指定し、内部監査やチェックで確認するあたりが具体的な盛り込み方になるのではないかと思います。確かに、ISMS自体はリスクマネジメントを中心とした仕組みでしかないので、ISMSを構築していれば大丈夫、ISMS認証を取得していれば問題ない、というわけではありません。ただ、必要なサイバー攻撃対策をしっかりと会社に浸透させていくという観点で考えると、セキュリティマネジメントでしっかりと啓蒙したり、チェックしたりすることは重要と言ってよいかなと思います。一方で、粟津曰く「特定の業界や企業を標的とした高度なサイバー攻撃は、情報セキュリティマネジメントシステムだけでなく、他のフレームワークを活用したり専門的なエンジニアリングが必要不可欠」とも言っていました。特に重要な情報資産を取り扱う場合には、高度なサイバー攻撃の標的になることも視野に入れて対策をしたほうが良さそうです。まとめサイバー攻撃といっても色々あるセキュリティの基本動作を行なっていれば、かなり防げるISMSにセキュリティの基本動作を盛り込む方が良い、ただ高度なサイバー攻撃は別の対策が必要以上、いかがだったでしょうか?ISMSの存在に頼りすぎることなく、でもしっかり活用して、サイバー攻撃対策を社内に広めていくことを意識したいなと感じました。弊社では、ISMS認証取得・維持の支援を提供しています。情報セキュリティマネジメントシステムを単なる書類と監査の仕組みにせずに、より実効性を向上させて、サイバー攻撃対策にもなるようにお客様を支援するのが特徴です。また、サイバー攻撃対策に特化したコンサルやセキュリティ構築支援も承っています。高い専門性から、宇宙・防衛関係の企業様に採用いただくなど、好評です。「いやーうち本当にサイバー攻撃大丈夫なの?」と思ったセキュリティ担当者の方、ぜひ弊社に相談してみませんか?以下からお問い合わせください。%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fprofessional-service%2Fonline-paperless-isms-certification-consulting%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FI0bjWPF%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3E