全員参加のサイバーセキュリティに向けて NISCと情報セキュリティハンドブックの概要

現代社会において、なくてはならないITですが、ご存知の通りIT利用には幾多の脅威が潜んでいます。特に組織であれば、一度攻撃を受けてしまい被害が出ると、社会的な信用を失墜し、場合によっては組織自体の存続ができなくなる等の深刻なダメージを受けます。そのため、組織の大小や個人に関わらず、ITを利用するひとりひとりが、安全なIT利用のための知識や対応策、いわゆるサイバーセキュリティの考えを身につけ実行する必要がありますが、まだ考えが浸透しているとは言い難いのが実情です。

そこで、サイバーセキュリティの重要性を広く知らしめ、ひとりひとりがサイバーセキュリティを意識し安全にITを利用できるよう、内閣サイバーセキュリティセンター(NISC)が様々な情報発信を行っています。特に、中小企業やNPOを対象に作成された情報セキュリティハンドブックは、無料ながらセキュリティについて考えるべき、やるべきことが様々な角度から網羅されており、セキュリティ対策の入門編として非常に有用です。

 

本稿では、NISCおよび、NISCが発行している情報セキュリティハンドブックについてご紹介いたします。

 

内閣サイバーセキュリティセンター(NISC)とは

上記で触れたようなITの急速な発展と普及、それに伴うサイバーセキュリティ確保の重要性向上を背景に、2014年11月に「サイバーセキュリティ基本法」が成立しました。同法に基づいて2015年1月に内閣サイバーセキュリティセンター(NISC)が内閣官房に設置されました。NISCは以下7つのグループを設置し、「自由、公正かつ安全なサイバー空間」を目指して、各種の調査研究や戦略等の決定、広報活動などの取り組みを官民一体で進めています。

NISCには7つのグループがあります。それぞれのグループ名および活動内容は以下の通りです。

基本戦略グループ

  • サイバーセキュリティ政策に関する中長期計画や年度計画の立案
  • サイバーセキュリティ技術動向等の調査・研究分析

国際戦略グループ

  • サイバーセキュリティ政策に関する国際連携の窓口機能

政府機関総合対策グループ

  • 政府機関等の情報セキュリティ対策を推進するための統一的な基準の策定、運用及び監査

情報統括グループ

  • サイバー攻撃等に関する最新情報の収集・集約
  • 政府機関情報セキュリティ横断監視・即応調整チーム(GSOC)の運用

重要インフラグループ

  • 重要インフラ行動計画に基づく情報セキュリティ対策の官民連携

事案対処分析グループ

  • 標的型メール及び不正プログラムの分析
  • その他サイバー攻撃事案の調査分析

東京2020グループ

  • 2020年東京オリンピック・パラリンピック競技大会に向けたサイバーセキュリティ対策の推進

 

(出典:内閣サイバーセキュリティセンター )

閣議決定や調査分析結果の資料はHP上で公開されており、無料で閲覧することができます。また、twitter、facebook、LINEといったSNSを通じて最新のセキュリティに関する情報発信も行っています。

 

情報セキュリティハンドブックとは

NISC広報活動の一貫として、主に専任のセキュリティ担当がいない中小企業やNPOといった組織をターゲットとして作成された、サイバーセキュリティについてのハンドブックです。NISC広報サイト(みんなでしっかりサイバーセキュリティ)上で全ページが公開されており、内容に改変を加えないことを条件に、一部/全部の再配布や自組織資料との合体など、様々な方法で活用できます。

 

本編は全6章です。150ページほどで、巻末には用語集、情報セキュリティ関連ウェブサイト一覧、索引が載っています。

プロローグ サイバー攻撃ってなに?

第1章 まずは情報セキュリティの基礎を固めよう

第2章 パソコン・スマホ・IoT機器のより進んだ使い方やトラブルの対処の仕方を知ろう

第3章 被害に遭わないために、加害者的立場にならないために

第4章 会社を守る、災害に備える、海外での心構え

第5章 ITを使った効率化によるセキュリティコスト捻出

第6章 セキュリティをより深く理解して、インターネットを安全に使う

エピローグ デジタル世代の小さな会社とNPOの未来

 

(出典:内閣サイバーセキュリティセンター「小さな中小企業とNPO向け 情報セキュリティハンドブック」)

 

情報セキュリティガイドブックの特長

入門編として、「セキュリティ」に関する幅広い分野の対策をカバーしている

OSやソフトウェアを最新にする、ウイルス対策ソフトを導入するなどといった情報セキュリティの基礎的な内容から丁寧に解説されています。新しくIT機器を買ったらどうするか、データを破棄するときはどうするか、実際に利用しているIT機器が乗っ取られてしまったらどうするか…等、様々な場面にあわせてとるべき行動が明記されています。これ1冊あれば実際に起こった各場面にて、最低限考えるべき内容を簡単にリスト化できます。

また、そもそも「サイバー攻撃とは何か」「サイバー攻撃を受けたらどうなるのか」「なぜサイバーセキュリティを意識しなければならないのか」といった根本部分にも踏み込んでいます。まさに入門書としてうってつけです。

 

上級内容や最新情報へのアクセス方法について道筋が示されている

上記で示したように、情報セキュリティハンドブックに記載されている内容は基本的な知識です。実際に各組織でのサイバーセキュリティを考える上では、より個別の事象に踏み込んだ内容を学習したり、日々変化していく情報を追ったりと、ハンドブックの内容を超えて情報収集する必要が出てきます。そのようなときに役立つ情報セキュリティサイトや情報の探し方、注目すべきポイントが具体的に紹介されているので、どのような形で情報収集していけばいいかの方針を掴むことができます。

 

幅広く「IT活用」に言及している

本ガイドブックは中小企業やNPOをターゲットにしているので、その規模やリソースを考慮し、最小限必要な内容にとどめられていますが、小さな組織のサイバーセキュリティを考える上で、大きな課題になるのが人および費用です。特に費用面に関して余裕がないと考える担当者は多いことでしょう。

そんな中で、セキュリティのための投資を捻出するためのIT活用方法について第5章で触れています。「業務を停止させない」「負のコストを生まない」ためのセキュリティ思想の取り入れから、話題のテレワークやアウトソーシング、無料コンテンツを活用して業務を効率化し、セキュリティ投資のコストを生む考え方まで解説しています。

ただの「セキュリティ対策」に留まらず、最終的にIT利用によって生まれる様々なツール・サービスの活用にまで言及している点は、本ガイドブックのかなり特長的な部分です。

 

サイバーセキュリティという名の公衆衛生に参加する

ハンドブックでは、サイバーセキュリティは公衆衛生であると述べています。実社会での安全に公衆衛生の意識が重要であるように、サイバーセキュリティの世界-インターネットによって構築されている社会の安全にもまた、サイバーセキュリティとしての公衆衛生が重要だということです。公衆衛生には組織の大小や個人は関係ありません。全員で参加し、守り、安全性を高めていくという意識が重要です。

セキュリティ対策を考える上の第一歩として、まずは情報セキュリティハンドブックをご覧いただくことをおすすめします。

 

参考:

内閣サイバーセキュリティセンター

https://www.nisc.go.jp/index.html

みんなでしっかりサイバーセキュリティ(ハンドブックは以下HPよりダウンロードできます)

https://www.nisc.go.jp/security-site/index.html