はじめまして、経済産業省 大臣官房 DX室でDX推進マネージャをしております、石井俊光と申します。

私は現在、職員向け各種デジタルサービスの企画・管理を支援したり、行政手続オンライン化の推進を担当しています。

前職は製造業の情報システム部門でインフラ、セキュリティ担当としてサイバーセキュリティ対策や運用だけでなく、セキュリティ教育や啓蒙、ISMS認証取得、更新などに携わっていたため、今回は情報セキュリティの考え方、リスクと脅威、脆弱性についての話をしたいと思います。

情報セキュリティとは

　情報セキュリティとは、ISO/IEC27000の中で「情報の機密性、完全性及び可用性を維持すること」と定義されています。

　まずは、個人や組織において、守るべき情報（＝資産）が何なのか、ということを明確にすることが出発点になります。何を守るかを理解しなければセキュリティ対策は始まりません。

　例えば資産には以下のような観点があります。

　・資産の種類
　　機密情報
　　顧客データ
　　個人情報
　　クレジットカード
　　コンテンツ

　また、その資産がどこにどんな状態で存在しているかという点も重要です。

　・資産の場所
　　サーバー
　　データベース
　　ストレージ（ディスク）
　　ローカルPC
　　紙

　・資産の状態
　　管理者や責任者は明確になっているか
　　アクセスできる人は誰か
　　すぐに確認ができるか

　これらをすべて把握し、特定して管理することがまず、はじめの一歩、ということになります。

情報セキュリティとリスク管理

　次に情報セキュリティにおけるリスク管理についてです。　

　リスクを決定する要素が大きく３つあります。
　　・資産（の価値、重要度）
　　・脅威
　　・脆弱性
　リスク ＝ 資産の価値 × 脅威 × 脆弱性

　資産とは前述した組織において守るべき情報になります。資産の価値でリスクの大きさが決定します。

　脅威とは、以下のようなものをさし、これらの脅威は外的なもので基本的にコントロールできず、脅威は脆弱性と合わさることでリスクが顕在化します。

　　・情報漏洩
　　・改ざん
　　・なりすまし
　　・サービス停止

　リスクに応じてどのように対策するか検討することになりますが、脆弱性はコントロール可能な部分があるので、これを減らしていくことがセキュリティ対策のアプローチになります。

脆弱性を管理する

　脆弱性とは、「脆（もろ）くて弱い」性質のことで、情報セキュリティにおける「脆弱性」の場合、システムの不具合や欠陥のことをいいます。

　OSやアプリケーション、ネットワークからハードウェアに至るまで脆弱性は潜んでいて、攻撃者は脆弱性を巧みに利用して、サイバー攻撃に悪用します。

　こういった攻撃を防ぐために、製品やサービスを提供する事業者が、パッチを提供したり、ソフトウェアのアップデートを行うため、利用者はそれを「適切なタイミングで」適用し、脆弱性を減らしながら日々の運用を行う必要があります。

　新しい脅威や攻撃手法はどんどん出てきます。同時に対抗する手段や新しいテクノロジーも開発されます。

　基本的なセキュリティ知識だけでなく、最新の脆弱性情報を日々収集し、時には攻撃者の目線にたって対策を考えることが大切になってきます。

対策例とトレンド

　基本的なセキュリティ知識と最新の脆弱性の情報はどこから取得すればよいでしょうか。

　・基本的なセキュリティ知識
　　IPA（情報処理推進機構）
　　NISC（内閣サイバーセキュリティセンター）
　　警察庁

　・最新の脆弱性情報
　　JPCERT/CC
　　JVN、JVN iPedia
　　製品開発者の製品情報ページ

　IPAが管理している以下のサイトなどには関係機関からの情報が集まっているため、どこから情報を取得したら良いか分からない、という方には参考になるでしょう。

　また、新しい脅威や攻撃手法はどんどん出てくるので、脆弱性情報の収集、自組織の資産への影響調査などを手動にて行っている場合、実際の脆弱性対策までに時間を要してしまい、攻撃を許してしまうという可能性もあります。

　そのため、脆弱性情報が自分の組織の資産に影響があるかどうかを自動で判断できるツールを活用し、効率的にセキュリティ運用することも推奨されています。

　米国では攻撃コードが公開されており、インターネット上で実際に攻撃に使れているCVE-IDのリストを公開し、米国政府系のシステムを対象に定められた期間内に必須で対応を求めるといった動きがあります。

　今後は、迅速かつ継続的に脆弱性の管理をすることが重要視され、ツールを活用した効率的な対策が一層求められていく時代になるでしょう。