「5.7 脅威インテリジェンス」

「情報セキュリティの脅威に関連する情報を収集及び分析し、脅威インテリジェンスを構築しなければならない。」

潜在的な脅威に関する情報をどのように収集し、対策を取っていくか。
私が検討・実施した一例をご紹介します。

IPA、セキュリティニュースの自動投稿

製品の脆弱性情報やIPAからのフィッシングなどの注意喚起を自動収集し、全社にオープンな場で共有するようにしています。ここはまず始められるところだと思います。
各種パッチの適用もこのタイミングで実施します。
ランサムウェア、情報流出被害のニュースも事例として参考になりますね。

ダークウェブモニタリング

自社ドメインが脅威にさらされていないか確認します。
専用サービスと契約しAPI定期実行により、自社ドメインの流出がないかチェックするようにしました。
もし、問題が発生した場合、パスワード変更等の対策を取ります。

脆弱性管理

最も悩みどころの対策です。
2024年度のCVE件数は4万件を超え、日々ウォッチして自社資産に適用する運用が難しくなっています。実施している対策の一部をご紹介します。

  • Dependapotによるアラート対処
    GithubのDependabotを有効化しセキュリティアラートが上がった場合は、チャットツールに自動投稿。
    CVSSスコアやKEV情報、および自社資産の重要度から、優先度を決定いわゆるトリアージを行っています。
  • 外部ソースからの脆弱性対応
    メーカーリリースや、IPAその他機関からの注意喚起、また最近ではIntruderというCVEのトレンドを収集し分析しています。こちらも同様、トリアージを行っています。
    優先度が決定したら、各プロジェクトの責任者に対応を依頼します。
    定期的な進捗状況チェックも重要ですね。

ASM(Attack Surface Management)

外部からアクセス可能な自社のIT資産に対する調査を行う手法です。
不要なポートが開放されていないか、脆弱性のあるソフトウエアが使われていないか
自社ドメインに対してツールを使って調査を行っています。

社内トラブル報告フォームの設置

社内からも有益な情報収集ができると考え、トラブル報告フォームを設置しました。
どんな些細なトラブルでも報告できる窓口を設置して、開発・事務・営業、職種問わず情報を共有するようにしました。
そのほとんどがISMSにおけるインシデントと分類されないものですが、些細なヒューマンエラーやアプリケーション設定漏れなどでも、事故になる前に対策が共有されることで、大きなインシデントを未然に防ぐことができます。

エビデンス

以上の策はすべてチャットツールに自動投稿され共有されますので、証跡としても残すことができます。
以前は証跡はExcelで管理することが多かったのですが、どうしても更新を怠ったり形骸化することが多かったので運用しやすい方法にしました。

これら証跡は最終的に年度末に、ISMSパフォーマンス評価シートにサマリが記載され、どのような対策を取って、どのような効果が得られたか評価し、マネジメント層に説明することになります。

審査時の評価

多くの施策を試みてきましたが、実際の審査ではここまで一気にやる必要はないと思います。
大事なのは管理策に対する策を講じた上で、そのプロセスや結果を評価し改善するフローができているかということです。

余談ですが、最後のインシデント報告フォームの取り組みは外部審査でも非常に良い評価を受けました。
改善の指摘だけでなく、最近は良い点も審査結果として報告されるようですね。

やった甲斐があったというものです。

他新規管理策についてはまた次回。