企業のセキュリティ対策とは？「セキュ リティ」のプロが解説！

 このページで学べること

1. 企業におけるセキュリティ対策とは？その分類と脅威について
2. 企業として取り得る対策：「マネジメントシステム認証」「開発プロセス認証」の視点から

はじめに

近年、さまざまなサイバー攻撃による被害の深刻化が紙面をにぎわせています。「不正アクセス被害」「ランサムウェア感染」「情報漏洩」「工場停止」…このような被害の実態を目にするたび、「自社もセキュリティ対策を強化しよう！」と気を引き締めつつも、実際には何から始めればいいのかわからないという方も多いのではないでしょうか。

このストーリー（ブログ）では、「セキュリティ対策」が業務のキーワードとなっている方を対象に、「マネジメントシステム認証」「開発プロセス認証」という視点から、企業として取り得る対策を解説します。IT部門の方だけでなく、開発部門、技術部門、製造部門、品質保証部門など、幅広い方に参考にしていただける内容です。

「セキュリティ対策」とは？

一口に「セキュリティ対策を強化する」と言っても、想定される場面はさまざまです。

• 「個人PCのウイルス対策ソフト、見直した方がいいですか？」
• 「在宅勤務者のPCは、特別な対策が必要？」
• 「工場で使用するシステムのセキュリティ対策って？」
• 「クラウドシステムやスマホと連携する製品開発をしていますが、セキュリティ対策はどうしたら…」
• 「リモートで操作できる機器システム、もし攻撃されたら？」
  
  

企業のセキュリティ被害例

具体的にはどのようなセキュリティ被害が企業で発生しているのでしょうか。
ここでは、代表的な「マルウェア感染」「DoS/DDoS攻撃」「リモート侵入」「妨害行為」についてご説明します。

マルウェア感染
マルウェア感染とは、悪意のあるソフトウェアが企業のネットワークやシステムに侵入することで、重要なデータなどを盗 み出したり、システムを乗っ取るなどの被害のことです。 マルウェアには、ウイルスやランサムウェア、トロイの木馬など様々な種類があります。 一度感染してしまうと、企業の機密情報や顧客情報が漏洩する可能性があります。

DoS/DDoS攻撃
DoS/DDoS攻撃とは、悪意を持って大量のデータを送りつけることで、企業のウェブサイトやネットワークを意図的に過負 担にさせ、サーバーを停止させようとする攻撃です。 これにより企業は経済的な損失のほか、顧客からの信頼を失う可能性もあります。

リモート侵入
リモート侵入は、悪意のあるハッカーが企業のネットワークに不正にアクセスすることです。遠隔操作による不正なアクセ スを許してしまった場合は、データの改ざんや、機密情報が盗まれる恐れがあります

「セキュリティ」「サイバーセキュリティ」という言葉は汎用的であり、ご自身の所属と業務内容など置かれている立場によって、セキュリティ対策の対象はイメージするものが変わると思います。

セキュリティ対策の対象

そこで、セキュリティ対策の対象を、IT（Information Technology）分野とOT（Operational Technology）分野の2つに分け、それぞれ概要を紹介します。

セキュリティ対策と一口に言っても、その対象や課題は分野によって異なるでしょう。たとえばITセキュリティ分野では「情報資産を守ること」、OTセキュリティ分野では「製品・工場を守ること」が大きな課題として挙げられます。また、部門や部署ごとに「セキュリティ対策」の定義が異なるかもしれません。

ここで重要なポイントは、ITセキュリティ分野でもOTセキュリティ分野でも、脅威が共通しているということです。

IT分野は長らく汎用システム（インターネット、WindowsなどのOS）を利用していることから、特別な知識がなくとも攻撃ができるなど、サイバー攻撃の対象とされてきました。「サイバー攻撃」「情報漏洩」と聞くと、ITセキュリティを想像する方も多いでしょう。

ところが近年は、OT分野でも、汎用システムを組み入れてシステムを構築することが一般的になりました。たとえば、制御システムにおいては、リモート操作やクラウド接続を想定したものが増えています。具体的には、工場全体のオペレーションの分析や改善などの効率化を目的とし、標準プロトコル（TCP/IP）を使用し社内LANへのアクセスを容易化するといったケースです。

このように、IT、OTに用いられる技術が重複しています。どちらにおいても「脅威」はマルウェア感染やDoS/DDoS攻撃、リモート侵入、妨害行為等を指し、セキュリティ対策に両者の垣根はなくなっていくと予想されます。

「セキュア対策ができている状態」とは?

セキュリティの対象とする分野は違えども、脅威は共通することがわかりました。しかし、そもそも何をもって「セキュリティ対策ができている」、つまり「セキュアである」ことを証明できるのでしょうか？

ウイルス対策ソフトを購入していれば万全でしょうか？自社製品を使うためのパソコンも自社で管理していれば万全でしょうか？すべての文書にパスワードをかけていれば、社内でセキュリティ研修を開催していれば、内部監査を毎年していれば、攻撃を受けた時にすぐに工場を閉めれば、安全といえるでしょうか？

企業活動は長期的に推移していくものです。したがってセキュリティ対策においても個別の対策でとらえるのではなく、企業の中長期計画の一環として対策を講じていくことが肝になります。その軸となるのが、マネジメントシステムや各種プロセスをトータルで活用することです。

次項から、企業のセキュリティ対策を証明する認証制度、「マネジメントシステム認証」と「プロセス認証」について解説します。

「マネジメントシステム認証」で企業を守るということ

広く知られているマネジメントシステム規格としては、ISO 9001（品質）やISO 45001（労働安全衛生）が挙げられます。すでに認証取得されている企業も多いことでしょう。マネジメントシステムとは、企業が立てた方針・目標に向かって、効率的に組織を動かし、継続的改善を図っていく仕組みです。

たとえばISO 9001は、ISOマネジメントシステム規格としては最も古い規格です（1987年初版）。初期には電気電子機器業界を中心に取り組みが始まり、近年は、サービス業界や教育機関などあらゆる業界に広がっています。

認証取得の背景や目的は各社・各団体さまざまですが、「効果的な品質管理体制の構築」を目指して認証を取得し、定期監査を受けて認証を維持しているという点では共通します。

また、マネジメントシステム認証には、以下の通りさまざまな認証規格が存在します。中でもISO 27001は、「情報セキュリティマネジメントシステム認証規格」として発行されており、組織の情報資産を守ることを目標としています。

情報資産を守る！マネジメントシステム認証規格「ISO 27001」

ISO 27001（ISMS）とは、組織の情報セキュリティ管理するためのマネジメントシステムの要求事項をまとめた国際規格の一つです。

「情報セキュリティ」とは、情報を以下の３つの要素で保護することをいいます。

1. 機密性 ：例．重要な情報等がアクセス権のない人物によって閲覧されないように制限をかけること
2. 完全性： 例．重要な情報を不正な改ざんから保護し、データの欠落なく最新の状態を保つこと。
3. 可用性 ：例．必要な時に情報にアクセス及び利用できる環境であること

組織の情報セキュリティ管理を維持するための仕組みとして、情報セキュリティマネジメントシステム（ISMS）がまとめられ、2005年に「ISO/IEC27001:2005」という国際規格になりました。品質マネジメントシステムや環境マネジメントシステムの仕組みと整合性がとられた後、現在はISO/IEC27001:2013が最新規格です。

ISO 27001について詳しくはこちら

「セキュアプロセス認証」で企業を守るということ

システムや機器の安全性を保証するためには、どのようなことができるでしょうか？最終製品の検査や全数検査といった「結果を保証する」方法が挙げられるでしょう。

これに加えて、「プロセスで保証する」という視点も非常に重要です。プロセス保証とは、決められた手順ややり方通りに行うことで、最終アウトプットが目的・基準を満たすことを確実にする活動を指します。

プロセス保証はあらゆる分野で取り入れられており、制御システムセキュリティ分野においても同様です。制御機器のライフサイクルにセキュアな開発プロセスを確立させ、設計の段階から計画し、文書化し、運用することで、セキュリティ機能の実装を行えます。

製品・工場を守る！セキュアプロセス「IEC 62443」とは

近年、欧州や北米で注目されているのは、工場の操業を止めない、あるいは意図的に危険なオペレーションをさせない対策です。そのサイバー攻撃の対策として実証されたソリューションが、産業システムのセキュアな開発をサポートする産業セキュリティ規格「IEC 62443シリーズ」です。

IEC 62443の対象は、産業用オートメーション（ファクトリーオートメーション）および制御機器を、セキュアに開発するための「プロセス」と、産業用制御システム・機器そのものの「セキュリティ耐性」です。本規格に認証登録されることで、セキュア開発プロセスの保持と、確実なセキュリティ機能の実装と耐性が評価されます。

IEC 62443を認証したプロダクトサプライヤは、その開発プロセスにセキュリティ機能を組み入れた組織として評価されますし、そのサプライヤが開発・製造した制御機器は、IEC 62443シリーズのセキュリティを考慮した製品として評価されます。つまり、IEC 62443の認証登録により、組織と製品の社会的信頼性を高めることができます。

IEC 62443について詳しくはこちら

まずはリスクを知り、自社の現状を知り、対策を知ることから

「企業のセキュリティ対策」と一口に言っても、ITセキュリティとOTセキュリティに分けることで、それぞれの特徴が浮かび上がってきました。それと同時に、脅威が共通することや、その脅威に対する不安を払拭させる手段として「認証」というアプローチがあることをご理解いただけたのではないでしょうか。

テュフズードジャパンは以下の4ステップのサービスを提供しています。

1. 基本情報を学び、セキュリティリスクを知る（トレーニング・個別相談）
2. 自社の現状を整理し、セキュリティ規格とどこまで乖離しているかを知る（ギャップ分析）
3. セキュリティ対策を講じて、第三者評価を行う（認証取得）
4. セキュリティレベルの維持を目的として、定期的に検証する（継続監査・更新監査）

テュフズードジャパンの提供するナレッジサービスや認証サービスを、皆さまのセキュリティ対策にお役立てください。さらに詳細な情報については、以下のリンクを参照いただくか、お問い合わせフォームよりお気軽にご連絡ください。

お問い合わせフォーム

関連リンク

無料個EUサイバーセキュリティ法規制解説コース別ウェビナー

ISO 27001 （ISMS）認証取得サービス　ISO 27001

産業用制御システム向けサイバーセキュリティ認証　IEC 62443

トレーニング・セミナーサービス