Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen

情報セキュリティ管理における検知と予防

マーカス イェーゲルカ

DQS情報セキュリティ専門家および監査役
12月 08日 , 2022
# 情報セキュリティとデータ保護

今日のサイバー脅威の状況は急速に変化している。これに伴い、情報セキュリティの体系的な保護を常に最新の状態に保ち、さらに発展させることが不可欠となっています。新しいISO/IEC 27001:2022は、まさにこの目標をサポートするもので、11の新しい管理策を提供しています。

現行バージョンの附属書Aの対策の実施は、すでに2月に更新されたISO/IEC 27002:2022の同じ構造の実施ガイダンスによってサポートされています。戦略的攻撃の防止と迅速な検知のための一般的な管理策が新たに含まれています。

検知と予防のための3つの新しい管理策

ISO/IEC 27001:2022の附属書Aの93の対策は、今回の更新で4つのトピックに再編成されました。

  • 組織的対策
  • 個人的対策
  • 物理的対策
  • 技術的対策。

新たに導入された11の情報セキュリティ管理策のうち3つは、サイバー攻撃の防止と適時の検知に関するものである。これら3つの管理策は以下の通りである。

  • 5.7 脅威インテリジェンス(組織的)。
  • 8.16 監視活動(技術的)
  • 8.23 ウェブフィルタリング(技術的)。

以下では、これら3つの新しい統制について詳しく見ていく。

脅威インテリジェンス

組織的管理5.7は、関連する脅威に関する情報の体系的な収集と分析に対処するものである。この対策の目的は、組織が自らの脅威の状況を認識し、その後リスクを軽減するために適切な行動をとることができるようにすることである。脅威データは、戦略、戦術、運用の3つの側面に従って、構造的に分析されなければならない。

戦略的脅威分析では、攻撃の種類や行為者(国家的行為者、サイバー犯罪者、契約攻撃者、ハクティビストなど)のような脅威の状況の変化に関する洞察を提供する。国内外の政府機関(BSI(ドイツ連邦情報セキュリティ局)、enisa(欧州連合サイバーセキュリティ機関)、米国国土安全保障省、NIST(米国国立標準技術研究所)など)や非営利団体、関連フォーラムは、あらゆる産業や重要なインフラにわたって、十分に研究された脅威インテリジェンスを提供しています。

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022 Q&A

情報セキュリティの "新参者 "について知っておくべきこと:ユーザーから38個の質問に対する専門家からの回答

  • 新しいコントロールとは何ですか?
  • 新基準への移行時期は?
  • 新旧対照表はどこにありますか?
  • などなど、35の質問にお答えします!
新ISO 27001のFAQを今すぐダウンロードして、ご活用ください。

サイバー攻撃はあまりにも長く発見されないままである

21世紀のビジネス界では、情報とデータの価値が際立っているため、企業や組織はますます情報セキュリティに重点を置き、デジタル資産の体系的な保護に投資する必要に迫られている。それはなぜか。ダイナミックな脅威のランドスケープにおいて、攻撃者の手口はますます洗練され、多層化しており、その結果、被害を受けた企業のイメージや評判に深刻なダメージを与え、世界中で年間数十億ドルの経済的損失をもたらしている。

専門家の間では、サイバー攻撃に対する完全な防御はもはや不可能であるという意見が一致している。そのため、企業ネットワークにおける攻撃の横のベクトルを制限し、危険にさらされるシステムの数をできるだけ少なくするためには、潜在的な攻撃や実際の攻撃を早期に検知することがより重要になっている。IBMの「データ侵害のコスト2022」調査の一環として実施された調査によると、2022年に攻撃を検知して封じ込めるまでに平均277日かかった。

新しいISO 27001:2022

情報セキュリティマネジメントシステムのための現代的で標準化されたフレームワークで企業や組織を支援するために、ISOは2022年10月25日に新しいISMS規格ISO/IEC 27001:2022を発行した。附属書Aでは、情報セキュリティリスクに対処するために企業ごとに使用できる管理策/対策が示されている。

ISO 27001のDQS審査ガイドライン

貴重なノウハウ

当社の審査ガイド「 ISO 27001 - Annex A」は、実践的な実施ガイドとして第一線の専門家によって作成され、選択された規格要求事項をよりよく理解するための優れた方法です。このガイドは、2022年10月に改訂されたISO 27001にはまだ対応していません。

無料ダウンロードする

このような異常な振る舞いを検知するためには、ビジネス及び情報セキュリティの要求事項に従って、関連する活動を監視し、特に異常があれば既存の脅威データと比較しなければならない(上記、要求事項5.7参照)。監視システムに関連するのは、以下の側面である:

  • インバウンド及びアウトバウンドのネットワーク、システム及びアプリケーションのトラフィック、
  • システム、サーバー、ネットワーク機器、監視システム、重要なアプリケーションなどへのアクセス、
  • 管理レベルまたはミッションクリティカルレベルのシステム及びネットワーク設定ファイル;
  • セキュリティツールログ[例:アンチウイルス、侵入検知システム(IDS)、侵入防止システム(IPS)、ウェブフィルタ、ファイアウォール、データ漏洩防止]、
  • システム及びネットワーク活動に関するイベントログ、
  • システム内の実行可能コードが完全性と権限を持つことの検証、
  • リソースの使用状況、例えば、プロセッサ・パワー、ディスク容量、メモリ使用量、帯域幅。

活動の監視が機能するための基本的な要件は、IT/OT インフラストラクチャがクリーンかつ透過的に構成さ れ、IT/OT ネットワークが適切に機能していることである。この基本的な状態に反するいかなる変化も、機能性に対する潜在的な脅威、ひいては異常として検出される。インフラストラクチャの複雑さによっては、関連ベンダーのソリューションにもかかわらず、この対策を実施することが大きな課題となる。異常検知システムの重要性は、いわゆる重要インフラの運用者に対するISO/IEC 27002:2022の要求事項8.16とほぼ同時に認識された。このように、関連する法的規制の国内範囲では、いわゆる攻撃検知のためのシステムを期限付きで効果的に適用する義務がある。

ウェブ・フィルタリング

インターネットは恵みであると同時に呪いでもある。怪しげなウェブサイトへのアクセスは、悪質なコンテン ツやマルウェアの入り口となり続けている。情報セキュリティ管理策 8.23 ウェブフィルタリングは、マルウェアの侵入から組織のシステムを保護し、未承認のウェブリソースへのアクセスを防止するという予防的な目的を持つ。組織は、この目的のために、不要または不適切なウェブサイトやウェブベースのアプリケーショ ンへの強制的なアクセス制限を含む、オンラインリソースの安全かつ適切な使用のためのルールを確立す べきである。以下の種類のウェブサイトへのアクセスは、組織によってブロックされるべきである:

  • アップロード機能を持つウェブサイト-正当な業務上の理由で必要な場合を除く、
  • 悪質なウェブサイトであることが判明している、またはその疑いがあるウェブサイト、
  • コマンド・アンド・コントロール・サーバー、
  • 脅威データから特定された悪意のあるウェブサイト(対策5.7も参照)、
  • 違法なコンテンツを含むウェブサイト。

ウェブ・フィルタリング対策は、オンライン・リソースの安全かつ適切な利用について十分な知識を持つ、訓練を受けた職員によってのみ真に機能する。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

ISO 27001による認証

ISO 27001に基づくISMS認証を取得するには、どのような努力が必要でしょうか。無料かつ義務なしで情報を入手してください。

ご相談をお待ちしております。

お問い合わせはこちら

戦術的脅威インテリジェンスとその評価により、攻撃者の手法、ツール、技術を評価します。

具体的な脅威の運用評価では、技術的な指標を含む具体的な攻撃に関する詳細な情報を提供します。例えば、現在、2022年にランサムウェアとその亜種によるサイバー攻撃が極端に増加しています。

脅威分析は、以下のような方法で支援を提供することができる:

  • リスクマネジメントプロセスに脅威データを統合するための手続き的なサポート、
  • ファイアウォールルール、侵入検知システム(IDS)、マルウェア対策ソリューションの更新など、技術的な予防と検知、
  • 情報セキュリティに関する具体的なテスト手順やテスト手法のためのインプット情報を提供する。

脅威の状況を決定し、それを分析するための組織的管理 5.7 のデータ品質は、後述の監視活動(8.16)とウェブフィルタリング(8.23)の 2 つの技術的管理に直接影響する。

監視活動

活動の技術的監視に関する検知及び是正の情報セキュリティ管理策 8.16 は、脅威を回避する方法としての異常検知に焦点を当てる。ネットワーク、システム、アプリケーションは、データスループット、プロトコル、メッセージなど、期待されるパターンに従って動作する。これらの予期されるパターンからの変化や逸脱は、異常として検出される。

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

新しいISO/IEC 27001:2022で何が変わるのか

現代の情報リスクに適応したISO/IEC 27001の新版が2022年10月25日に発行された。これは、規格のユーザーにとって何を意味するのでしょうか。無料のウェビナーでは、以下についてご紹介します。

  • ISO/IEC 27001:2022の新機能 - フレームワークと附属書A
  • ISO/IEC 27002:2022-02 - 構造、内容、属性、およびハッシュタグ
  • 移行のタイムラインと次のステップ
続きを見る

技術的結論

ここで説明した新しい検知および防止管理は、組織的なサイバー犯罪を防御する上で重要な役割を担っており、ISO/IEC 27001およびISO/IEC 27002の現行バージョンに採用されるのは当然のことである。利用可能な脅威情報の継続的な更新と分析、自社のITインフラにおける広範なアクティビティ監視、怪しげなウェブサイトに対する自社システムの安全性確保により、企業は危険なマルウェアの侵入に対する防御を持続的に強化している。また、早期に適切な対応策を講じることができるようになった。

企業や組織は今後、認証審査の要件を満たすために、提示された3つの管理/対策を適宜実施し、ISMSに一貫性を持って統合する必要がある。DQSは、公正な審査と認証の分野で35年以上の包括的な専門知識を有しており、ISO/IEC 27001:2022に準拠した情報セキュリティマネジメントシステムの変更管理を喜んでサポートいたします。

DQSの専門知識による最先端のISMS認証

ISO/IEC 27001の新バージョンに移行する際、組織にはまだ時間があります。旧規格に基づく現在の認証書は、2025年10月31日にその効力を失います。とはいえ、変更されたISMS要求事項に早い段階で対応し、適切な変更プロセスを開始し、それに従って実施することをお勧めします。

30年以上の経験を持つ審査・認証のエキスパートとして、当社は新規格の導入をサポートします。経験豊富な数多くの審査員から、最も重要な変更点と貴社にとっての関連性をご確認ください。改善の可能性を一緒に検討し、新しい認証書を受け取るまでサポートいたします。ご連絡をお待ちしております。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

ご質問はございませんか?

お問い合わせは無料です。

今すぐ問い合わせる
著者名
マーカス イェーゲルカ

DQSの製品管理・認定部門で、情報セキュリティの専門家および審査員として勤務している。30年以上の経験を持ち、最初は原子力施設の放射線防護の専門家として、次にISMSの審査員および認証機関副マネージャーとして活躍しました。この職務において、情報セキュリティの専門知識(ISO/IEC 27001、ドイツエネルギー産業法(EnWG)11.1aに基づくITセキュリティカタログ)をドイツの認定機関DAkkSや多くの顧客監査で実証しました。

ご質問はありませんか?

お気軽にお問い合わせください。
お問い合わせはこちら