2016年2月4日、バングラディシュ中央銀行のシステムにハッカーが侵入し、約8,100万ドル(日本円で約81億円)という史上最大級の被害が発生しました。ハッカーはマルウェアを通じて乗っ取ったアカウントを使い、お金はSWIFTを通じてフィリピンの銀行口座からカジノへ流れました。
この事件に象徴されるように、サイバーセキュリティは資産保全における重要な課題です。
最近では2019年7月4日、セブン&アイホールディングスが運用する「7Pay」への不正アクセスにより、約900人、計5500万円の被害が発生しました。
このように、今やサイバーセキュリティは安心して生活するための必要不可欠な社会的経済的機能であり、そのサービスクオリティの標準化は緊急の課題です。今回の企画書は、そのテーマについて詳細に扱っています。
バングラデシュ中央銀行の巨額サイバー窃盗事件の構図
※北朝鮮の錬金術 暴かれる実態
◆サイバー攻撃 狙われる日本
【サイバーセキュリティとは】
・サイバーセキュリティとは
・初心者でもわかる!サイバーセキュリティの現状と今後の方向性
・サイバーセキュリティ―Wikipedia
【サイバーセキュリティの会社】
・【サイバーセキュリティ】関連が株式テーマの銘柄一覧
・サイバーセキュリティ関連銘柄|儲かる投資情報のカブ知恵
【サイバーセキュリティ関連の資格】
・セキュリティ関連の資格一覧と難易度!あなたにぴったりの資格は?
・情報セキュリティのおすすめ資格10選!試験の難易度も解説
【サイバーセキュリティに関する事件】
・個人情報漏洩事件・被害事例一覧―サイバーセキュリティ.com
・サイバーセキュリティ事件簿-IPA
・実際にあった情報漏えいの被害事例まとめ|セキュリティタイムズ
【目次】
1. 今回の企画書の特徴
2. 『平成29年度サイバーセキュリティ経済基盤構築事業(情報セキュリティ分野におけるサービス品質の認定に関する調査)調査報告書』から学ぶ
3. 表紙
4. 目次
5. 目的
6. 事業の概要
7. 海外における情報セキュリティの認定に関する調査
8. 情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催
9. 報告会の開催
10.まとめ
1. 今回の企画書の特徴
今回の企画書は、アメリカのSNSなどの情報収集・分析からエネルギー政策の企画立案および対米情報発信についての提言が満載です。ポイントとなるキーワードを、以下に記します。
・情報セキュリティ対策
・脆弱性検査
・フォレンジックサービス
・セキュリティ品質認定の基準
・情報セキュリティ監査サービス
・脆弱性検査サービス
・デジタルフォレンジックサービス
・運用・監視係サービス
・セキュアシステム構築サービス
2. 『平成29年度サイバーセキュリティ経済基盤構築事業(情報セキュリティ分野におけるサービス品質の認定に関する調査)調査報告書』から学ぶ
では、みずほ情報総研株式会社が作成した企画書を以下具体的に見ていきましょう。
3. 表紙
4.目次
5.目的
近年、様々なビジネスの現場において、ITの利活用が企業の収益性向上に不可欠なものとなっている一方、企業等が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃も増加傾向にあり、その手口は巧妙化している。
企業等においては自らの事業や資産を保護するための情報セキュリティ対策の実施が不可欠となっているが、それらの実施にあたって必要となる情報セキュリティ分野の知識や経験を備えた人材は平成28年時点において国内で13万人不足しているとされ、自社の人材のみでは必要な情報セキュリティ対策を実施することができない企業等が多数存在するものと見込まれる。
また情報セキュリティ対策の中には、情報システム等に既知の脆弱性が存在するかどうかを調べる脆弱性検査や、サイバー攻撃に関する証拠の収集や保存を行うフォレンジックサービスなど、高度な知識やスキルを備えた専門家が実施することが前提のものも存在する。
このような状況のもと、情報セキュリティ分野の外部サービス(以下、「情報セキュリティサービス」という。)を企業等のサービス利用者が利用する機会は今後ますます増えるものと見込まれ、そうした需要に応じて多くの企業からさまざまなサービスが提供されることが想定される。
一方で、サービスの品質、すなわち情報セキュリティ対策としての有効性は、情報セキュリティ上の脅威に相当する事象が発生しなければ顕在化しないことも多く、情報セキュリティ分野の専門的知識をもたないサービス利用者においてサービス事業者の選定時にそのサービス品質を判断することは容易ではない。
その結果、多くのサービス利用者が価格の安さや広告での印象等をもとに品質の低いサービスを選定するような状況に至った場合、大規模なサイバー攻撃の発生時に深刻な被害が生じることで、社会的に大きな影響が生ずる恐れもある。このような事態の発生を防止するためにも、情報セキュリティサービスについて一定の品質が担保されていることを第三者が客観的に認定し、その結果を台帳としてとりまとめて公開することで、サービス利用者が調達時に参照できるような仕組みの提供が求められる。
本事業はこのような背景を踏まえ、情報セキュリティサービス品質の認定に関する制度のあり方とその運用体制の構築に関する具体的な検討を行うことを目的として実施されたものである。
6. 事業の概要1
以下に、本事業の全体に関わる内容について、その概要を示す。
2.1 実施内容
上記事業目的を達成するために以下(1)~(4)の事業を実施した。
(1)海外における情報セキュリティの認定に関する調査
海外の主要国(アメリカ、イギリス等)における情報セキュリティ品質に関する認定について、文献(海外の専門誌等)、インターネット調査により実施し、その結果について報告会に報告した。
その際の調査項目例は以下の通りである。
・海外における情報セキュリティ品質に関する認定制度の内容(枠組み等)
・認定の対象となる情報セキュリティ製品及びサービス
・当該認定制度の活用状況
・認定制度の運営体制(認定、認証の主体等)
・セキュリティ品質認定の基準(規格等)
・現状の認定制度における普及促進策等
また調査対象国として、米国、英国の2カ国を選定した。
(2)情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催情報セキュリティサービス品質の認定に関する制度のあり方とその運用体制について検討することを目的として、有識者等による検討委員会及びワーキンググループ(以下「WG」とする。)を設置し、次の要領にて運営した。
◇制度全体に関わる内容を検討する検討委員会の直下に、情報セキュリティサービスについて検討するWGを設置した。
①情報セキュリティ監査サービス
②脆弱性検査サービス
③デジタルフォレンジックサービス
④運用・監視系サービス
⑤セキュアシステム構築サービス
なお、これらのサービスを活用したセキュアシステム構築のあり方についても検討した。
◇制度設計においては、以下の点を考慮した。
(ア) 認定対象とするサービスの種類
(イ) 品質認定の基準
6. 事業の概要2
(ウ) 認定申請、審査、台帳登録、台帳公開などの方法
(エ) 台帳自身の品質管理の方法(虚偽申告等の排除など)
・産学の有識者より検討会及びWGの構成員はを指定した。座長は構成員より選出した
・構成員の協力のもとに、必要に応じて事業者への聞き取りなどを通じて、認定の基準や台帳に基づく管理の妥当性について、調査した
・本事業期間中に検討会を3回、WGを2回開催した
・検討会及びWGの開催に当たり、構成員への実施依頼、日程調整、会場確保、資料作成(印刷、当日の説明含む)、旅費・謝金の支払い等といった事務的な業務を行った。また、検討会及びWG開催後は、会議の議事録を速やかに作成し、経済産業省に対して提出した
・会議の運営にあたっては、情報セキュリティサービスの品質管理について、制度の整備並びに運営に経験を有する者を事務局に加えた
さらに検討委員会及びワーキンググループにおける検討結果をもとに、情報セキュリティサービス品質の認定制度を国内で運用するための体制について、以下に例示するような項目ごとに望ましいあり方のとりまとめを行った。なお、詳細な作業内容については、会議体での検討結果を踏まえて経済産業省サイバーセキュリティ課との協議のもとに定めた。
(3)報告会の開催
(1)、(2)の結果をもとに、海外における情報セキュリティ品質の認定に関する調査結果等を一般向けに説明する報告会(22時間程度)を平成30年3月に1回開催した。
(4)調査報告書等のとりまとめ
(1)~(3)の成果をもとに、報告書としてとりまとめた。
6. 事業の概要3
2.2 実施体制
本事業の実施体制を次図に示す。事業のうち、情報セキュリティサービス品質の認定制度を国内で運用するための体制の検討に際しては、サービスの品質維持を目的とする公的な制度である情報セキュリティ監査台帳制度において、台帳の作成や運営に豊富な知見を有する特定非営利活動法人日本セキュリティ監査協会が主として担当した。
6. 事業の概要4
2.3 実施スケジュール
(1)海外における情報セキュリティの認定に関する調査)
(2)情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催
・委員委嘱手続等
・検討会(準備等含む)
・WG(準備等含む)
・制度運用体制の検討
(3)報告会の開催
(4)調査結果の取りまとめ
・結果とりまとめ
・調査報告書作成・納入
7.海外における情報セキュリティの認定に関する調査1
米国及び英国を対象に、情報セキュリティ品質に関する認定について、文献及びインターネットを用いた調査を実施し、参考にすべき事例として2例をとりまとめ、事業において開催した検討会及び報告会にて報告した。
(1)米国におけるFedRAMP制度
クラウドコンピューティングサービスを対象とする米国連邦政府の調達要件に関する認定制度として知られている。政府内で運用されているが、適合性の評価は民間の評価機関が行う。
対象機関のいずれか1機関で認定されると、すべての対象機関で認定対象となる点が事業者にとってのメリットとなっている。
◆米国における認定制度の事例(FedRAMP)
◇情報セキュリティ品質に関する認定制度の内容(枠組み等)
クラウドコンピューティングサービス及び関連製品におけるセキュリティ管理策のベースラインとしての位置付けの基準を示し、この基準に準拠しているサービスないし製品のみを連邦政府の調達対象とする
◇認定の対象となる情報セキュリティ製品及びサービス
クラウドコンピューティング関連製品とサービスを対象とするセキュリティ対策
◇当該認定制度の活用状況(2018年3月時点)
・認定クラウドサービス/97件
・認定準備/評価中/79件
・評価機関/44機関
◇認定制度の運営体制(認定、認証の主体等)
米国連邦政府一般調達局(GSA)に設置されたFedRAMPPMOによる運営。基準は国立標準技術研究所(NIST)にて策定
◇セキュリティ品質認定の基準(規格等)
FedRAMP Security Assessment Framework(NIST)
◇現状の認定制度における普及促進策等
米国内135の政府機関における調達要件として指定。1機関で認定されると他機関でも同様に認定される
◇認定取得のインセンティブ
政府機関によるクラウドサービスの調達に参加する上での必須要件
7.海外における情報セキュリティの認定に関する調査2
(2)英国のCommodity Information Assurance Services
(1)と異なり、認証結果を民間でも利用することを前提に制度が設計されている。認定対象となるのは、英国内に営業拠点を有する事業者に限定されるが、日系の法人も登録されている。FedRAMP と同様、評価機関は民間サービスを活用している。
◆英国における認定制度の事例(Commodity Information Assurance Services)
◇情報セキュリティ品質に関する認定制度の内容(枠組み等)
民間サービスについて、情報保証に関する公的な認定を実施
◇認定の対象となる情報セキュリティ製品及びサービス
英国内に営業拠点がある事業者が提供する、次のようなサービス
・情報通信(クラウドを含む)
・サニタイズ(データ消去等)
・ペネトレーションテスト
・サイバーセキュリティコンサルティング
・サイバーインシデントレスポンス
・個別セキュリティ評価
・テンペスト及び電磁気セキュリティ
◇当該認定制度の活用状況(2018年3月時点)
・認定済みサービス/110件
・認定製品/138件
・評価機関/4機関
◇認定制度の運営体制(認定、認証の主体等)
英国国家サイバーセキュリティセンター(NCSC)
◇セキュリティ品質認定の基準(規格等)
対象サービスについて、評価のためのセキュリティ要件を定義
◇現状の認定制度における普及促進策等
(なし)
◇認定取得のインセンティブ
・認証マークの使用
・英国政府機関等での調達対象となる
8.情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催1
4.1 検討会の開催
(1)検討会の設置
以下の要領にて検討会を設置し、その事務局業務を担当した。
◆検討会委員一覧
◇委員長/土居範久 慶應義塾大学名誉教授
◇委員
笠原真樹 株式会社由紀精密 取締役営業部長
小松靖直 日本商工会議所 情報化推進部 部長
小屋晋吾 一般社団法人コンピュータソフトウェア協会(CSAJ)セキュリティ委員会副委員長
佐々木良一 東京電機大学教授
下村正洋 特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)事務局長
菅谷光啓 NRI セキュアテクノロジーズ株式会社 フェロー
田居久生 独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンター次長
永宮直史 特定非営利活動法人日本セキュリティ監査協会(JASA)事務局長
松下正夫 特定非営利活動法人 IT コーディネータ協会 基幹業務部長
宮下 清 一般社団法人日本情報システム・ユーザ協会(JUAS)常務理事
※オブザーバ:内閣官房内閣サイバーセキュリティセンター、総務省
8.情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催2
(2)検討委員会の開催
検討会を以下の要領にて開催した。
◆検討委員会の開催経緯
◇2017年9月25日/第1回
①事業の概要について
②本検討会における検討内容について
◇2017年11月27日/第2回
①審査登録基準の検討結果について
②品質管理マニュアルひな形について
③審査登録機関について
◇2018年1月27日/第3回
①情報セキュリティサービス基準について
②審査登録制度の体制について
③制度の普及促進における課題について
8.情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催3
4.2 ワーキンググループの開催
(1)ワーキンググループの設置
◇名称/セキュリティサービス認定基準策定ワーキンググループ
◇目的/情報セキュリティサービスに求められる品質ならびに情報セキュリティサービスの品質に関する認定に用いるべき基準案についての検討
◇委員数/12名
◇開催回数/2名
◆ワーキンググループ委員一覧
◇座長/菅谷光啓 NRIセキュアテクノロジーズ株式会社 フェロー
◇委員
青嶋信仁 株式会社ディアイティ
石井俊行 日本電気株式会社
石原 修 株式会社日立製作所
大河内智秀 三井物産セキュアディレクション株式会社
奥原雅之 富士通株式会社
加藤俊直 PwCあらた有限責任監査法人
川口 洋 株式会社ラック
藤井仁志 EYアドバイザリー・アンド・コンサルティング株式会社/新日本有限責任監査法人
藤原 慎 NTTデータ先端技術株式会社
松本 泰 セコム株式会社
丸谷俊博 特定非営利活動法人デジタル・フォレンジック研究会(IDF)
※オブザーバ:内閣官房内閣サイバーセキュリティセンター、総務省
8.情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催4
8.情報セキュリティサービス品質の認定に関する検討会及びワーキンググループの開催5
4.3 情報セキュリティサービス品質の認定制度を国内で運用するための体制について
検討会及びワーキンググループにおける検討結果をもとに、情報セキュリティサービス品質の認定制度を国内で運用するための体制について、次表のようにとりまとめた。
◆とりまとめた結果
◇サービスの品質に関する認定の方法
・情報セキュリティサービス基準を満たす事業者を「基準適合サービスリスト」に掲載の上、リストを公表する
◇認定の運用業務の内容
・事業者からの申請を審査し、登録対象事業者を抽出
・登録済み事業者を対象としたサーベイランスを実施
◇制度の運用を担う組織が有すべき機能
・事業者からの申請内容の審査機能
・登録済み事業者を対象とするサーベイランスの実施機能
◇制度の運用に要する費用の負担方法
・制度運用に要する経費を審査手数料として事業者より徴収
◇制度の適切な運用を確実に行うための方法等
・審査登録組織の独立性及び中立性を確保する
・実効的なサーベイランスの実施体制を確保する
・技術や社会の変化に対応し、基準等の見直しを適宜実施する
9.報告会の開催1
本事業における調査結果を一般向けに説明する報告会を平成30年3月に実施した。その概要を以下に示す。
(1)実施概要
報告会の実施概要を次表に示す。参加者募集は次の2つの方法で実施した。
・事務局のウェブサイトにて公表
・セキュリティサービス基準策定に協力いただいた団体の会員宛に参加者募集の案内を送付
なお、当日は質疑応答を行う時間が確保できなかったことから、質問については事務局宛の電子メールにて受け付け、後日電子メールにて回答する旨を参加者向けにアナウンスした。
9.報告会の開催2
10.まとめ
本事業では、情報セキュリティサービスについて一定の品質が担保されていることを第三者が客観的に認定し、その結果を台帳としてとりまとめて公開することで、サービス利用者が調達時に参照できるような仕組みの作成を目的として、海外調査、検討会及びワーキンググループの運営、報告会の開催などの活動を実施した。
本事業で実施した成果は、今後の制度運用を通じて、我が国における情報セキュリティサービスの普及を通じた安全性の向上に寄与することが期待される。
※関連コンテンツ
・セキュリティに必須のサイバーインテリジェンス!その内容とは?
