会社の健康診断してる？｢うちは狙われるような情報はない｣が命取り､“プロの侵入成功率は9割以上”ランサムウェアに泣く前に脆弱性診断を

実際の攻撃と防御の最前線から生まれた実践的なフレームワークで、その信頼性の高さから、東京オリンピックのサイバーセキュリティ対策においても、その基盤として活用されました。

2024年10月に最新版「第3.2版」が公開されており、企業がセキュリティを守るために何をすべきかを9つのカテゴリー、64の業務に整理し、体系化しています。また、「セルフアセスメントシート」も無償で公開されています。

Excel形式のチェックシートで、設問に「はい」「いいえ」で回答していくことで、自社のセキュリティ対策の状況がレーダーチャートで自動的に可視化される仕組みになっています。「うちの会社はインシデント対応は強いが、そもそもの資産管理が弱い」といった強みと弱点を、誰の目にもわかりやすく一目で把握できるのです。

複雑でどこから手をつけていいのかわからないサイバーセキュリティ対策ですが、まずはこのシートを使って自社の「健康状態」を客観的に把握することが出発点となります。

ISOG-Jが公開しているセルフアセスメントシート（写真：筆者提供）ダウンロードはこちら

人員が限られる中小企業はどうすればいいか

「セキュリティ対応組織の教科書」によってやるべきことが明確になったとしても、それを組織内で完璧に実行するのは簡単ではありません。

とくに、情報システム部門の人員が限られている中小企業にとっては、日々のシステム運用やトラブル対応に追われる中で、広範囲にわたるセキュリティ対策を網羅的に、かつ高いレベルで維持し続けるのは困難を極めます。

攻撃者の手口は日々、刻々と進化しています。昨日まで安全とされていた設定やソフトウェアが、今日には新たな脆弱性を抱える危険な存在になり得ます。

基本的には自社が保有するサーバーやPC、ネットワーク機器といったIT資産を漏れなく完全に把握し、世の中に存在する無数のソフトウェアに対して次々と公開されるセキュリティパッチを遅滞なく適用し、そしてシステムの設定を常に安全な状態に保つことが重要です。しかし、この基本を徹底することが、非常に難しいのです。

コロナ禍を機にリモートワークが普及しましたが、仕事で使う端末が社外に飛び出してしまい、管理が困難になっています。また、現場の社員が情報システム部門に無断で便利なクラウドサービスを使い始める「シャドーIT」のように、管理者の目が届かない資産が知らぬ間に増えているケースも少なくありません。