セキュリティ事故対応力はどのくらい？ 診断ツールが公開

25の質問に答えてサイバー攻撃などの事故対応に必要な力を診断できるツールが公開された。

[國谷武史，ITmedia]

　IT企業などが参加するオープンガバメント・コンソーシアム（OGC）は7月1日、企業や組織がセキュリティインシデント（事故）の対応について現状を把握できることを目的とした「組織対応力ベンチマークチェックシート」と解説書を公開した。セキュリティ対策の強化に役立てられるとしている。

　チェックシートと解説書は、米国立標準技術研究所（NIST）のセキュリティインシデント対応ガイドライン「NIST SP800-61」をベースに、OGCのCSIRT普及ワーキンググループ（WG）が作成したもの。CIOや情報システム部門の管理者、セキュリティ事故対応の担当者などの利用を想定している。

　チェックシートでは事故対応に関するドキュメントや体制の整備、予防策や事故の検知・分析、被害抑止や復旧手順など6分野・計25問があり、これに回答すると、レーダーチャートを使って事故対応ついて自組織の強みや弱みを一目で確認できる。また、詳しい内容で122の設問に回答するチェックシートの詳細版も用意した。

チェックシートの設問構成

　解説書では質問項目ごとに、具体的な事故対応のための仕組みや行動手順、確認事項、アドバイスなどがイラストを交えて（一部）示され、サイバー攻撃や情報漏えいなどが発生した時に求められる被害抑止や再発防止の方法、また、事故を抑止するためのヒントが紹介されている。

診断結果はレーダーチャートで表示

　作成にあたったCSIRT普及WGには、シマンテック、新日鉄住金ソリューションズ、チェンジ、トレンドマイクロ、日本オラクル、NEC、ネットワンシステムズ、マカフィーの有識者が参加。WG主査の辻秀典氏は、「情報処理推進機構やJPCERT コーディネーションセンターが提供している資料を参考に、セキュリティ専門企業の知見を加味して、どのような組織にとっても事故対応に役立つ内容を目指した」と話した。

　同氏によれば、数年前からセキュリティ事故対応体制を構築する企業や組織が増えつつあった。6月に日本年金機構など多数の企業や組織で標的型攻撃の被害が発覚したことで、事故対応体制の構築を検討する企業が急増しているという。

OGCの須藤修会長

　組織対応力ベンチマークのチェックシートと解説書はOGCのWebサイトで無償公開されており、Excel版とPDF版を選んでダウンロードできる。

　OGC会長を務める東京大学大学院情報学環教授の須藤修氏は、「サイバー攻撃などの被害を防ぐには、組織として適切に対応できることがまず必要だ。今後マイナンバー制度がスタートすれば、組織対応力がさらに問われるようになるだろう」と述べている。