www.pwc.com/jp

特集 : サイバーリスクへの対応

PwC’s

View

Vol. 3July 2016

PwCあらた監査法人システム・プロセス・アシュアランス部　マネージャー　二階堂大輔

サイバーリスクへの対応を高度化するために現状を評価するポイント

1 セキュリティフレームワークのトレンド

PwCの「The Global State of Information Security® Survey 2016」の調査結果※1から、グローバルにビジネスを展開している企業の 35%では、2014年 2月にリリースされたNIST Cyber Security Framework（以下、CSF）を企業のセキュリティフレームワークとして採用、または併用しています。公表されてから3年にも満たない、新しいフレームワークがここまで浸透している調査結果は、グローバルでは、サイバーセキュリティへの対応へ力点がシフトしていることを示唆していると考えます。また、現在利用可能なセキュリティフレームワークのうち、リスクベースのフレームワークであるCSFが、最新の標的型攻撃などに対応するために「検知

（Detect）」や「対応（Response）」も重視しているなど、サイバーセキュリティ対策の有効性を考える上で最も参考になります。また、サイバーセキュリティの堅牢性評価においても有効であると想定されます。

2 サイバーセキュリティにおける脅威の認識

サイバーセキュリティの堅牢性を評価するに当たって、現在どのような脅威が流行しているかを知ることは重要です。なぜなら、自社も同様なサイバーリスクに晒されることも十分考えられ、このようなサイバーリスクシナリオを想定することで、有効なサイバーセキュリティ対策の検討につながると想定されるからです。現在流行している脅威に関して、IPA

（情報処理推進機構）が「情報セキュリティ10大脅威 2016」※ 2として公表しています。この資料によると、社会的に影響が大きかった10大脅威は次のとおりです。

はじめに　サイバーセキュリティへの取り組みは、サイバーリスクに応じた個々のコントロールの導入にとどまらず、マネジメント態勢の構築へと拡大しています。これまで多くの日本企業が、自社の情報資産の重要性に基づき情報セキュリティ対策を採用してきました。しかしながら、サイバーリスクに関しては、例えば社員や委託先などの内部関係者の脅威に加え、外部からのサイバー攻撃が日常化し、手口も巧妙化しています。つまり、サイバーリスクは常に変化するものであるため、対策も継続的な見直しが求められます。以下では、貴社のサイバーセキュリティに対する堅牢性を高度化するための評価におけるポイントを紹介します。

特集：サイバーリスクへの対応

※1 https://www.pwc.com/jp/ja/japan-knowledge/archive/assets/pdf/information-security-survey2016.pdf

※2 https://www.ipa.go.jp/files/000051691.pdf

11PwC’s View — Vol. 03. July 2016

1. インターネットバンキングやクレジットカード情報の不正利用

2. 標的型攻撃による情報流出3. ランサムウェアを使った詐欺・恐喝4. ウェブサービスからの個人情報の窃取5. ウェブサービスへの不正ログイン6. ウェブサイトの改ざん7. 審査をすり抜け公式マーケットに紛れ込んだスマート

フォンアプリ8. 内部不正による情報漏えいとそれに伴う業務停止9. 巧妙・悪質化するワンクリック請求10. 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用

増加

サイバーセキュリティに係る攻撃手法は巧妙化しているものの、上記の結果からも把握できるように、サイバーセキュリティの脅威に関しては大きな変化がありません。このようなサイバーリスクから企業やステークホルダーを守る方法は、一般的に入り口対策、内部対策、出口対策といった多層防御を構築して対抗することがセオリーです。

堅牢なサイバーセキュリティの構築には、流行しているサイバーリスクだけでなく、通常のリスク管理と同様に、自社の環境、業界の固有性等も含む、自社を取り巻く環境を包括的にとらまえた上で、自社にとって有効な施策を導入することも必要です。さらには、自社で採用する情報技術の脆弱性をタイムリーに理解することが必要です。よって、決まりきった対策の導入ではなく、自社固有のサイバーリスクの許

容度、固有のシステム環境、ビジネス環境等を踏まえた上で、自社にとって有効な対策の導入が必要となるのが、サイバーセキュリティの特徴ではないでしょうか。

3 堅牢なサイバーセキュリティの構成要素

サイバーセキュリティの堅牢性評価は、図 1に示すように、脅威に対するコントロールの有効性評価の結果から導き出される残余リスクにより行われます。具体的には、残余リスクがハッカーによる攻撃の容易性にどのように関連付けられるか、またハッカーに攻撃された場合のビジネスインパクトがどの程度かという観点で評価が実施されます。

脅威 コントロール 残余リスク

残余リスク ハッカーによる攻撃

ビジネスインパクト

許容水準以下であるか否か？

図1.サイバーセキュリティにおける残余リスクの考え方

図 2は、サイバーリスクへの対策に係るフレームワークの中に、対策等の要素を一例として記載したものです。この枠

特集：サイバーリスクへの対応

サイバーセキュリティに係るリスクへの取り組み

管理態勢 ビジネスと整合した戦略、システムリスク管理態勢、人材育成、外部からの情報の活用

プロセス リスクに対する具体的な対策に係る運用プロセスの整備

体制 サイバーセキュリティに係る体制の整備

構成管理

特定

インフラ層

アプリケーション層

業務層

情報資産管理

脆弱性診断

SSDLC

外部との情報共有

重要業務の特定

通信制御

システム基盤・DBの物理分割

データへのアクセス制御

認証の強化

Secure Coding ログ分析による不正／攻撃の検知

インフラ・アプリにおける脆弱性対策の強化

セキュリティハードニング

エンドポイントプロテクション

業務担当者の絞り込み

オフィスセキュリティ強化

不正通信検知

不正侵入検知 初動対応

リスクに対する具体的な対策

フォレンジック

ログ復元

データ復元

DB監査

ファイル改ざん検知

マルウェア検知

PC操作検知

コンプライアンスチェック

SOC/CSIRT

リスクカルチャー BCP

防御 検知 対応 回復

図2：サイバーセキュリティの堅牢性評価のフレームワークの例

12 PwC’s View — Vol. 03. July 2016

特集：サイバーリスクへの対応

組みが、私たちのサービスで利用する、サイバーセキュリティの堅牢性の評価フレームワークです。

図 2は、堅牢なサイバーセキュリティを構築するための対策を管理態勢、プロセス、体制、リスクに対する具体的な対策の 4つに分類し、それらを CSFにおける、特定・防御・検知・対応・回復の 5つの機能に分類した上で、マッピングしたものです。その項目の説明は、表1を参照してください。

4 堅牢なサイバーセキュリティの評価要素

サイバーセキュリティの堅牢性評価における各チェック項目の内容を表2で説明します。

なお、表 2はサイバーリスクへの対策の網羅性を担保しているものではありません。サイバーセキュリティの堅牢性評価時には、例えば評価対象企業の保護すべき情報資産の管理状況を踏まえた業務端末（ITシステム・エンドポイント）の構成や、業務内容、組織体制等を鑑みた上で、評価項目そのものや、評価内容の見直しが重要です。

また、サイバーセキュリティの攻撃手法は常に巧妙化されているため、情報資産を守る側もサイバーセキュリティ対策を見直し、高度化を図る必要があります。よって、今回提示しているサイバーセキュリティの堅牢性を評価するためのフレームワーク内の構成要素における個別具体的な対策の有効性は、明日には陳腐化する可能性が十分にあります。

具体的な例として、次のようなケースが考えられます。

表1：サイバーセキュリティの堅牢性評価のフレームワークの軸項目説明

項目 内容の説明

管理態勢✓サイバーセキュリティに係る戦略であり、巧妙化されるサイバー攻撃に対して、システムリスク管理、人材育成、外部の情報活用

などのPDCAを通じて高度化を図る

プロセス✓想定されるサイバーリスクに対して技術的な対策を活用して、ビジネス・情報資産の保護、または影響を受けた場合の対応を定

める

体制✓サイバーセキュリティに係る体制として、例えば自社の情報セキュリティ部門といった限定されたビジネス領域をカバーするので

はなく、経営者も含め、全社的な体制を整備する

リスクに対する具体的な対策✓インフラ層、アプリケーション層、業務層における特定・防御・検知・対応・回復のための技術的な対策を定める✓サイバーセキュリティの特徴を踏まえ、対処すべきサイバーリスクを見直した上で、有効な対策を常に検討する

特定 ✓自社におけるシステム、資産、データ、機能に対するサイバーリスクの管理に必要な理解を深める活動である

防御 ✓自社の重要インフラサービスの提供を確実にするための適切な保護対策を検討し、実施する活動である

検知 ✓自社でのサイバーセキュリティに係るイベントの発生を検知するための適切な対策を検討し、実施する活動である

対応 ✓検知された自社に対するサイバーセキュリティに係るイベントを対処するための適切な対策を検討し、実施する活動である

回復✓堅牢なサイバーセキュリティを実現するための計画を策定・維持し、サイバーインシデントによって阻害されたあらゆる機能や

サービスを復旧するための適切な対策を検討し、実施する活動である

チェック項目 チェック内容

サイバーセキュリティに係る管理態勢 ビジネスと整合した戦略、システムリスク管理、人材育成、外部からの情報の活用に関して、PDCAプロセスを通じて、自社におけるサイバーセキュリティの対策の陳腐化が防止される仕組みであるか。

サイバーセキュリティに係るプロセス 企業をサイバーリスクから保護するためのプロセスを整備しているか。

サイバーセキュリティに係る体制 サイバーセキュリティを統括する体制として、管理態勢・プロセスを実行可能な体制を整備しているか。

構成管理 自社の情報資産に係るIT資産として、委託先も考慮した網羅的な管構成理を行っているか。

情報資産管理 各種法規制や、ガイドラインを考慮した上で、自社としてセキュリティの機密性・完全性・可用性の観点から保護すべき情報資産を整理しているか。

脆弱性診断 継続的に自社のシステムに対して脆弱性診断を行うことで、最新の脆弱性を網羅的に確認し、適切に対処しているか。

SSDLC（Secure SDLC） 開発に際して、非機能要件としてのセキュリティ要件や、脅威モデリングを通じて、セキュアなシステム開発を行う態勢が整備されているか。

外部との情報共有 自社外の団体との情報共有を通じて、サイバーセキュリティに係る知見を集約し、自社のサイバーセキュリティ対策への活用を行っているか。

重要業務の特定 自社の経営上重要な業務を特定しているか。

通信制御 外部と自社の境界だけに限定せず、異なるネットワーク間で発生する通信を、アプリケーションレベルの通信も考慮した上で制御、および保護しているか。

システム基盤・DBの物理分離 各種サーバー機能を物理的に異なる機器上で構築しているか。

データへのアクセス制御 データベースや、データファイルに対して設定されているアクセス権が利用者の業務上の役割に応じて設定されているか。

認証の強化 認証対象システムに想定されるリスクシナリオに応じた、認証の仕組みを採用しているか。

インフラ・アプリにおける脆弱性対策の強化

システムが利用しているコンポーネント（OS、ミドルウェア、ファームウェアなど）が影響を受ける脆弱性を適時、適切に把握し、対処しているか。

表2：サイバーセキュリティの堅牢性評価における各チェック項目の内容

13PwC’s View — Vol. 03. July 2016

これまで、定義ファイルベースのマルウェア対策ソフトのリアルタイム保護機能は、多くのマルウェアからPCを保護してきました。

現在では、マルウェアの亜種が多数作成され、定義ファイルベースのマルウェア対策ソフトでは検知できず、検知のタイミングによっては、既にマルウェアに感染しているケースもあります。

このようなケースでは、定義ファイルベースのマルウェア対策の陳腐化が考えられます。

新しいサイバーリスクへの対処は、継続的なサイバーセキュリティの有効性評価によって、行うことが必要です。つまり、図 1で示した脅威や、残余リスクとハッカーによる攻撃との関係性も日々変化することから、ビジネスインパクトが許容水準以下であることを継続的に評価することが求められます。

5 まとめ

本稿におけるサイバーリスクへの対応のポイントとして次の3点の必要性の理解が重要です。

① ISO27000等の既存のフレームワークのみに依らず、サイバーリスクに対応したセキュリティフレームワークの活用を検討すること。

② サイバーリスク固有の残余リスクの考え方として、ハッカーが攻撃に悪用できる容易性を認識すること。

③ 現状の対策は日々陳腐化する可能性があるため、定期的な対策の有効性評価を実施すること。

①②③を実現するプロセスを担保することが、貴社のサイバーリスクへの堅牢性を維持する環境構築の始まりといえるでしょう。

本稿が貴社のサイバーセキュリティ構築の参考になれば幸いです。

特集：サイバーリスクへの対応

チェック項目 チェック内容

Secure Coding システム開発時において、開発環境、開発対象となるシステムを考慮した上で、想定されるサイバーリスクを防ぐためのCodingが行われ、脆弱性が潰し込まれていることを確認しているか。

セキュリティハードニング システムレベルのサイバーセキュリティ対策を確実にするために、網羅的なセキュリティのベースラインを定め、確実に実装されているか。

エンドポイントプロテクション 自社のエンドポイントと、取り巻く環境を網羅的に把握した上で、エンドポイントの保護策が適切に実装されているか。

業務担当者の絞り込み 業務を担当する要員の妥当性も考慮した上で、絞り込みが行われているか。

オフィスセキュリティ強化 業務、および取り扱う情報に適用される要件、自社としての業務、および取り扱う情報資産の重要性を考慮した上で、執務室のセキュリティが確保されているか。

不正通信検知 不正な通信をリアルタイムでモニタリングし、不正通信発生時には適切な対処が可能か。

不正侵入検知 不正侵入をリアルタイムでモニタリングし、不正侵入発生時に適切な対処が可能か。

DB監査 データベースへのアクセスをリアルタイムでモニタリングし、異常な活動が発生した際に適切な対処が可能か。

ファイル改ざん検知 自社システムにおけるファイル改ざんをモニタリングし、発生時には適切な対処が可能か。

ログ分析による不正/攻撃の検知 自社システムのログを集約化し、相関分析などによって、セキュリティインシデントの発生をリアルタイムで監視することで、セキュリティインシデントの発生の段階を把握し、適切な対処が可能か。

SOC/CSIRT※3 自社のSOC/CSIRTには、サイバー・セキュリティ・インシデントに対して実効性を持って対処可能な体制が構築されているか。

コンプライアンスチェック 自社システムの構成コンポーネント（OS、ミドルウェア、ファームウェアなど）のセキュリティベースラインへの順守状況をモニタリングし、逸脱発生時には適切な対処が可能か。

マルウェア検知 マルウェアに係るサイバーリスクを考慮した上で、多層的なマルウェア検知の手法が採用されているか。

PC操作監視 PCを利用した、不正な操作をモニタリングしているか。

初動対応 サイバーインシデント発生時に、サイバーリスクを適切に封じ込み、自社に対するダメージをコントロールする態勢を構築しているか。

フォレンジック サイバーインシデント発生時、フォレンジックを行うためのクライテリアを定め、実効性を確認しているか。

リスクカルチャー リスク管理の動機付け、奨励を行う企業文化を醸成し、効果的なリスク管理態勢を構築しているか。

ログ復元 セキュリティインシデント発生時における、ログ調査に必要な対策が施されているか。

データ復元 自社の情報資産に係るセキュリティの重要性を考慮した上で、データの改ざん、破壊のリスクへ適切に対処しているか。

BCP 業務継続計画に、サイバーリスクも考慮したリスクシナリオを作成し、業務継続管理の一環として適切に管理しているか。

二階堂大輔（にかいどうだいすけ）PwCあらた監査法人システム・プロセス・アシュアランス部 マネージャー大手外資系 ITサービスベンダーにおいて、金融 /製造 /流通を中心としたITアウトソーシングのセキュリティマネージャー業務、および IT監査業務に従事。その後、国内大手金融機関において、グローバルITガバナンスの構築・高度化業務を経て、現職。PwC入所後は業種を問わず、サイバーセキュリティ構築支援、監査支援に従事。メールアドレス：daisuke.nikaido@jp.pwc.com

※3 Security Operation Center / Computer Security Incident Response Team

14 PwC’s View — Vol. 03. July 2016

PwC あらた監査法人 〒 104-0061東京都中央区銀座 8-21-1　住友不動産汐留浜離宮ビル Tel：03-3546-8450 　Fax：03-3546-8451

PwC Japanは、日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社（ PwCあらた監査法人、京都監査法人、PwCコンサルティング合同会社、PwCアドバイザリー合同会社、PwC税理士法人、PwC弁護士法人を含む）の総称です。各法人は独立して事業を行い、相互に連携をとりながら、監査およびアシュアランス、コンサルティング、ディールアドバイザリー、税務、法務のサービスをクライアントに提供しています。

© 2016 PricewaterhouseCoopers Aarata. All rights reserved.PwC refers to the PwC network member f irms and/or their specified subsidiaries in Japan, and may sometimes refer to the PwC network. Each of such firms and subsidiaries is a separate legal entity. Please see www.pwc.com/structure for further details.