2023年のISMSを振り返える

1.ISMS規格改訂に伴う移行審査

2022年10月25日に発行されたISO/IEC27001:2022(JISQ27001:2023)の移行審査が、今年の4月頃から開始されました。弊社も今年8月のサーベイランス審査に合わせて移行審査を受け、無事対応を終えました。また新規取得のお客様やサーベイランス審査ないし再認証審査に合わせて移行審査を受けたお客様の支援も相当数行ってきました(一部、審査立会も含め)。まずはそれらの所感から。

今回は、実質的にはISO/IEC27002:2022(JISQ27002:9999がパブリックコメント中)の改訂に伴うものです。ですからマネジメントシステム部分は共通文書の整合性を取る程度であり、肝心なのは附属書Aに関する管理策についてです。

10月のセミナーでもお話したように規格のタイトルにサイバーセキュリティやプライバシー保護という用語が加わったことから、「管理策についてもその辺りの視点からのチェックが入るのかな?」と思っておりましたが、それほど突っ込んでいるようには感じられませんでした。まあ審査は脆弱性診断ではないので、当然と言えば当然ですが。 ただ先日移行審査を終えたお客様において、新管理策の5.23 クラウドサービスの利用における情報セキュリティについては、詳しくチェックしているんだなと感じました。

新管理策については、以下のように関連づけて理解した上で、リスクアセスメントプロセスにおいて現状の管理策が「リスクを低減ないし維持する」ことに有効であるかどうかを評価する必要があります。

・5.7 脅威インテリジェンス
まずは脅威情報の収集・分析・活用プロセスが適切であるか?

・8.9 構成管理
 脅威インテリジェンスプロセスにより、タイムリーに構成管理の更新がなされているか?

・5.23 クラウドサービスの利用における情報セキュリティ
 クラウドサービスの選定は適切であるか?
 責任分界点を踏まえた組織として行うべき管理策が適切であるか?
 ⇒組織が認識していないクラウドサービスの利用はないか?
 ⇒8.11 データ漏えい防止にリンク(シャドーITの問題含めて)

・8.16 監視活動
いわゆるゼロトラスト思考に基づく監視機能は適切であるか?
⇒8.15 ログの取得や8.11 データ漏えい防止などとセットで機能しているか

・8.11 データ漏えい防止
 不正アクセスや内部不正によるデータ漏えい防止対策は適切であるか?

・8.23 ウェブフィルタリング
 危険なサイトへのアクセスをブロックする対策は適切であるか?

2.サイバーセキュリティ対策の有効性評価

ISMSの肝は有効性評価にあるといえます。情報セキュリティ方針には情報セキュリティ目的を含むか、情報セキュリティ目的設定のための枠組みを示さないといけません。そして情報セキュリティ目的を達成するための計画策定が要求されています。

情報セキュリティ目的は、適用範囲の部門や拠点の特質を踏まえて、以下のような事項を決定しないといけません。

・誰が責任者として

・必要な資源を調達して

・どのようなことを

・いつまでに実施し

・どのように評価するか

有効性評価はISMS運用で計画策定をする上で、組織が困る要求事項の一つですね。

しかしながら、規格のタイトルにサイバーセキュリティやプライバシー保護が加わったので、このテーマをベースに検討すれば、有効性評価指標は設定しやすくなったと思います。たとえば、サイバーセキュリティ対策としてゼロトラスト思考に基づく管理策強化を図っていくならば、複数年単位での対応が必要です。毎年の目標設定に困ることはありませんね。

ゼロトラストは、あくまでも考え方であるので具体的なソリューションの適用は組織のリスクアセスメントにより異なります。そもそも費用が掛かることなので、他の組織と同じようにマネをしようとしても予算的に無理なこともありますし、それではリスクアセスメントプロセスを無視した管理策の適用なので不適合です。

セミナーではサイバーセキュリティフレームワークに93個の管理策を落とし込みましたが、どうすればゼロトラスト思考の情報セキュリティ管理策の実現にあたるのかを検討しなければいけません。

最近はゼロトラスト思考の管理策への取組みも見受けられます。要求事項に沿って検討するならば、以下の事項においてその必要性を明確にしておくことが必要です。

・外部および内部の課題

・リスク及び機会に対処する活動

なぜ、ゼロトラストなのか?

この問いに何と答えますか?

一般的な回答例としては、以下のようになります。

2020年からのコロナ禍により、テレワークやクラウドサービスの利用が急速に進みました。従来の管理策では社内サーバによる統合管理が難しくなり、またテレワークやクラウドサービスの利用に伴う固有のリスク対応が必要になりました。しかしながら、急速な対応が求められたために十分なリスクアセスメントプロセスを経ずに導入をしたため、組織的なルールの曖昧さ、社員等への認識不足、自宅や異動時における物理的なリスクの発生、通信ログ等の監視漏れやシャドーITによるリスクの増大などへのリスク対応ができていない。

特に自宅でテレワークをするにあたり組織所有のPCやネットワークを使用せず私物での社内ネットワークやクラウドサービスを利用していることに伴うリスクは未知のものです。また組織規模によってはVPN接続によるネットワーク負荷が急増してシステム増強という可用性リスクも生じました。

こうした様々なリスクをしっかりと評価したうえで、適切な管理策の変更・追加を計画的に導入していくことが必要です。まさに6.3 変更の計画策定(ISMSの変更の必要)ともセットで取り組まないといけません。

3.内部不正と外部攻撃のリスク

過去の情報セキュリティインシデントから学ぶべきことは、主に内部不正による情報漏えいと外部攻撃による情報漏えいに分けてリスクを認識して管理策を講じる必要があります。今年の内部不正による情報漏えい事件で大きなものとしては、NTT西日本の子会社のコールセンターシステムの運用保守を担当していた元派遣社員が10年近くにわたって900万件の個人情報を持ち出して名簿屋に販売していた事件が発覚しました。

 管理策の不備としては、以下のような項目が公表されています。

・保守作業端末にダウンロードが可能になっていた

・保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた

・セキュリティリスクが⼤きいと想定される振る舞いをタイムリーに検知できていなかった

・各種ログ等の定期的なチェックが⼗分でなかった

保守作業端末にダウンロードが可能になっていた

どの組織においても社員等の内部者による情報の持ち出しリスクはあります。しかし、上記の管理策不備はいかがなものでしょうか。一般的に顧客システムのような個人情報データベースにおいては、顧客データをダウンロードできない仕様になっていることもあるかと思います。ISMS運用において顧客データベースは機密性の高い情報分類としてアクセス制限が厳しく設定されているはずです。当然、システムへのログイン認証も多要素認証を導入するなど、二重三重にアクセス制限をかけていないといけません。

ゼロトラスト思考によれば、すべての通信を監視する仕組みが必要なので、システムへのログインの都度、なりすましのログインがないかをチェックする管理策も必要となります。派遣社員とは言え内部者扱いですので正当なアクセス権限を与えるのは仕方がないとして、保守作業端末にデータをダウンロードする際の承認手順やダウンロード可能なデータの分類基準とかのルールはなかったのでしょうね。

保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた

ISMS運用においては、7.8記憶媒体についての管理策が要求されています。現在、パブリックコメント中のJISQ27002:9999を見ると、必要な時だけUSBポートを有効にしろとか、記憶媒体にデータを保存して持ち出す場合は許可を得てその記録を残せと言ったことが書いてあります。まあリスクアセスメントをするまでもなくフツーにやるべきだと認識していますよね。

セキュリティリスクが⼤きいと想定される振る舞いをタイムリーに検知できていなかった

これはまさにゼロトラスト思考の対策といえます。キーワードは「振る舞い検知」。これはシステムへのログイン認証においても必要です。たとえば東京オフィスの社内LANからアクセスした30分後に大阪のアクセスポイントからログイン要求があったとします。これ、フツーに考えてあり得ますか?

ってことです。もちろん外出先から社内ネットワークにアクセスすることが当たり前の時代ではありますが、物理的に30分で東京から大阪に移動できますか? 「どこでもドア」でもない限り無理でしょうし、自家用ヘリで向かっても無理でしょう。

各種ログ等の定期的なチェックが⼗分でなかった

8.15 ログの取得は従来からある管理策ですが、社内の情シスが24時間リアルタイム監視をすることは無理です。ですから定期的なチェックをするとか、不正アクセス等についてはアラートが鳴る設定にしておくなどの対応になります。

こうした対策はゼロトラスト以前に従来から管理策として要求されていることなので、何かしらの管理策で防御したり検知して対応したりといったことができていないといけません。

昨今の外部攻撃としては、ランサムウェアによるサーバの暗号化が最大の脅威です。有名なのはVPN機器の脆弱性を突いた不正侵入パターンやクラウドサービスのアカウント情報を窃取され攻撃者の侵入を許し、段階的に横展開していき管理者権限まで窃取する。やりたい放題して最後はサーバ等を暗号化して身代金を要求するというものです。攻撃された組織によっては「サーバは暗号化されていたので個人情報の漏えい等はありません」と発表しているものも見受けられますが、どうなのでしょうか…。

新しい管理策に8.9 構成管理、8.10 情報の削除、8.11 データマスキング、8.12データ漏えい防止が連番で追加されていますが、これらの管理策に8.15 監視活動、8.16 ログ取得、8.17 クロック同期を関連付けて適用して対策をとっているかどうかが重要です。

ハードウェア・ソフトウェア・サービス・ネットワークのセキュリティ構成に脆弱な管理策となっていたら監視漏れ・ログ取得漏れとなりますし、漏えいしたかどうかを確かめようがありません。情報の削除やデータマスキングは頻繁に行われるわけではないでしょうし、データ漏えい防止策が最後の砦として機能しないと攻撃者にデータを抜き取られてしまうリスクが高まっています。

4.セキュリティも鬼は外、福は内?

ゼロトラスト思考の反対概念が境界防御思考の情報セキュリティです。インターネットという外の世界は危険、社内ネットワークという内の世界は安全という考え方です。節分の豆まきのように鬼は外に追い出せ、福は内にやってこいという内外を壁(ファイアーウォール等)で隔てて情報セキュリティ対策をするというものです。

この対策の特徴は、外から内への通信は厳格に審査してブロックし、内から外への通信は容易にパスさせるものです。したがって、ひとたび攻撃者に不正アクセスを許すと、内から外への通信はほとんどブロックされないので、潜在的なデータ漏えいリスクがあったということです。この前提は情報セキュリティに必要な情報資産は内にあるというものです。

しかしながら、テレワークやクラウドサービスを利用するということは、従来は内部にあった情報資産をとても危険な外部(インターネット)で利用するということです。クラウドサービスに至っては24時間、インターネットに晒されています。したがって、不正アクセスを試みる悪意ある攻撃者からすると攻めどころがたくさんあるということです。今までは堅牢なサーバ(要塞化された城のイメージ)を突破しなければならなかったのが、堅牢さが不明なクラウド(5.23 クラウドサービスの利用における情報セキュリティ)や持ち歩くユーザー端末(8.1 利用者エンドポイント機器)の数だけ攻撃対象が広がったことを意味します。当然、攻め方のバリエーションや攻撃対象が増えれば不正アクセスされるリスクも高くなります。

本来であれば、2019年4月に施行された働き方改革法(労働関連法令の改正)により、ゆるやかにテレワークが進むだろうことは想定されておりましたが、法施行から1年も経たないうちにコロナによる世界的なパンデミックから急ごしらえでテレワークを整備しなければならなくなりました。その過程でVPNによる社内ネットワークによるアクセスが当然のことのように行われた結果、新しい脆弱性リスクも顕在化し、ランサムウェアの感染原因となりました。

VPN接続は外から内への通信なので、本来なら例外的なケースでのみ利用とすべき(利用しないで済むなら利用しない方がいい)なのに、テレワークにより毎日、どこからでも接続できるような環境が一般化したのです。

またクラウドサービス利用が進んだ要因の一つにWEB会議の利用もあります。WEB会議が遅いと感じた経験をお持ちの方もいると思います。動画はデータ容量が大きいので、全社会議や同時に取引先等とWEB打ち合わせを行うと通信回線が混雑して画面が固まったり音声が途切れたりと可用性の喪失リスクを経験されたこともあるでしょう。そのため社内サーバでの一元管理からクラウドでのファイル共有等も含めて脱オンプレが進んだといえます。

しかし、VPN接続の最大のリスクは内部ネットワークにアクセスを許してしまうということです。堅牢なサーバへの不正アクセスで苦労していた攻撃者にしてみれば、これは玄関の鍵が開いているようなものです。各部屋に鍵がかかっていたり金庫にかかっていたりしても、家に入られてしまったらカギを壊したり金庫ごと持ち出したりといったことができるイメージです。最近は営業中の宝石店に強盗に押し入ろうとする事件も起きていますが、インターネットに常時接続している社内サーバの勤務時間外は24時間営業の無人店舗のようなものです。

ランサムウェアに感染するということは、おおよそ以下のようなステップを通じて完結します。

・なりすましアカウントで不正アクセスされるor VPN機器の脆弱性をついて不正アクセスされる

・遠隔操作できるように仕込む

・他の端末にも悪さをする

・管理者権限を窃取する

・重要情報を盗み出す

・サーバ等に暗号化をかける

・身代金を要求する

これらは最終目標(情報を盗んでサーバ等を暗号化する)を達成するまで気が付かれないように行われます。逆に言うとそれまで気づかないということは、ほとんどの管理策が機能していないということです。そして、狙われる情報に個人情報が含まれていることが多いことです。

つまり、サイバー攻撃により個人情報が盗まれプライバシー侵害につながるから、管理策全体が見直されたともいえるのです。さらにサーバ等を暗号化されることで、日常業務ができなくなり可用性の喪失リスクも顕在化するのです。日常業務が滞ると残業時間も増えますし、社員のストレスや健康にも悪影響が生じかねません。このように情報セキュリティマネジメントシステムは、全社的な事業継続の観点からも重要な経営戦略課題となってきているのです。

5.リスクマネジメントは金になる!?

ISMSとは、リスクマネジメントプロセスを適用することによって情報の機密性・完全性・可用性を維持し、リスクを適切に管理しているという信頼を利害関係者に与えることです(JISQ27001:2023)。ランサムウェアに感染して身代金を要求されたということは、リスクを適切に管理できていなかったという不信感を利害関係者に与えてしまう結果となります。

ISMSに限らず一般的にリスクマネジメントは収益にならないからと積極的に取り組もうとする組織はあまりいないのが現状だと思います。しかし、どんなに収益力があっても、ひとたび個人情報の漏えい等が起こると信用失墜から収益減ということになりかねません。

であればISMSをしっかりと運用することでリスクをコントロールし、日常業務を円滑に行える経営環境を整備することこそ、その運用費用が収益の源になると考えれば、もっと前のめりにISMS運用を行う動機づけになるはずです。

確かに最近はEDRやSSO(シングルサインオン)などを導入しているお客様が増えてきていることは確かです。大切なのは、世の中でゼロトラストが声高に叫ばれているから当社も導入しようではなく、リスクを適切に管理しながら対策を講じることです。その意味では毎年、ISMS審査を受けることによって自社では気づかないリスクを発見できたり、新たな管理策導入のヒントを得たりと有益に活用することが望まれます。

今年も大変お世話になりました。来年もよろしくお願いいたします。

バルクでは、JISQ27001:2023規格改訂対応支援コンサルティングプランをご提供中です

JISQ27001:2023規格が2023年9月20日に発行されたことに伴い、旧規格で取得済みの企業は2025年10月31日までに移行を完了(認証書の発行)する必要があります。

バルクでは、移行をサポートするJISQ27001:2023規格改訂対応支援プランをご用意しています。まずはお気軽にお問い合わせください。

詳細はこちら