★☆★JNSAメールマガジン 第211号 2021.5.14☆★☆
2021/05/14 (Fri) 14:30
★☆★JNSAメールマガジン 第211号 2021.5.14☆★☆
こんにちは
JNSAメールマガジン 第211号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは大日本印刷株式会社の谷建志様にご寄稿いただきました。
【連載リレーコラム】
「サイバーセキュリティ演習マップ解説書」の公開
大日本印刷株式会社/株式会社サイバーナレッジアカデミー
一般社団法人 日本IT団体連盟 サイバーセキュリティ委員会
サイバーセキュリティ演習分科会
主査 谷 建志
3月5日、日本IT団体連盟 サイバーセキュリティ委員会 サイバーセキュリ
ティ演習分科会より、企業レジリエンス向上を目的として「サイバーセキュリ
ティ演習マップ解説書」と併せて「サイバーセキュリティ演習マッピングリス
ト」を公開いたしました。
日本IT団体連盟(通称:IT連)については、あまりご存知ない皆さまもいらっ
しゃるかもしれませんが、実はJNSAも加盟団体として名を連ねているほか、
JSSEC(日本スマートフォンセキュリティ協会)、CSAJ(コンピュータソフト
ウェア協会)、JAIPA(日本インターネットプロバイダー協会)等60以上のIT
業界団体が加盟しており、およそ5,000社、社員数でいうとおよそ400万人を
束ねる日本最大級のIT業界団体です。
まさに今、日本はデータ駆動型経済への変換期を迎え、「データ流通」が新た
な産業発展の源泉となる動きがさらに加速する流れの中にいます。そこで「情
報銀行の立上げ」など新しい枠組みを推進するための政策提言を活発に行って
いる団体です。
一昨年末IT連の中に、JNSAでも事務局長を務められていらっしゃる下村さん
を委員長に「サイバーセキュリティ委員会」が設立されました。委員会の下部
組織にもJNSAで理事・幹事をされていらっしゃる方が多く参加しています。
このサイバーセキュリティ委員会の中にあるサイバーセキュリティ演習分科会
で、今年度一年かけて制作したのが、「サイバーセキュリティ演習マップ解説
書」になります。
この解説書に込めた一番のポイントは、
1)デジタル化が進み、攻撃者の手口がこれ以上発達すると、セキュリティ対策
にも限界がくる
2)最新の対策を実施することと同じくらいに、経営者層やセキュリティ担当は
勿論、全従業員が攻撃者に騙されないように日頃から訓練や演習を通じて対処
態勢を整えておくことが重要
3)しかし、インシデントを体験する機会は通常業務では限られる。
という3点です。
各社・各団体、何らかのセキュリティ対策を講じ、社内外での教育・研修で研
鑽も積まれていることと思います。しかし、仮にいま講じたセキュリティ対策
ツールがアラートを鳴らしたとしましょう、「具体的には、どういう行動をさ
れるでしょうか?」また、「その行動をされているそばから、何かを搾取され
ているか、気づけるでしょうか?気づいたとしたら、何を講じますか?」。
最終的にはセキュリティの専門会社に詳しく調査・分析・対策を依頼されるこ
とになるのではと思いますが、時すでに遅く、インシデントは既にビジネスへ
の被害に及んでいるのではないでしょうか?
つまり、講じた対策で気づくことは出来ても、学んだ知識(解説書では形式
”知”と記載)を「即座に行動に移すこと」「同時に複数のタスクをもれなく行
動すること」を発覚後「初動に対応しなければ、手遅れ」になります。ひい
ては一番大事な「事業の復旧」が遅れます。
例えば、泳ぐことが苦手な方が、教本やビデオで泳ぎ方を学習し、何かの偶然
で海に落ちた時・・・(サイバー攻撃は偶然ではありませんが)服を着たまま、
水温が低く荒れた海に、しかも夜、偶然に落ちたショックを抱えながら、頭で
覚えたことを、更に数々の不測の条件の中で行動に移せるでしょうか?泳ぐ経
験、泳いでみないと体感できない経験が事前にできていれば、だと思います。
解説書では「経験“知”の必要性・重要性」として説明しています。
平常時に、身体に覚え込ませるために定期的に演習を体験し、「被害に遭うこ
とを前提に」
・「判断の訓練」・「行動の訓練」・「課題抽出の機会」
を繰り返しておくことで、「組織としてのセキュリティ対策のスパイラルアッ
プ」の流れを作り、色々な手口の未知の攻撃がきても「この攻撃は、あの時経
験したパターンに似ている」と気づき、一秒でも早い的確な初動対応で、被害
の鎮静と、ひいては早急な事業復旧の確保というレジリエンスの獲得で、ビジ
ネスの儲けを最大限確保することこそがサイバーセキュリティ演習の最終目的
となります。
解説書では「組織を四象限に整理」し「各象限に有効な演習形式を紐づけ」更
に、今般改正されました「ITSS+の企業内の役割」に分解し、現在市場で提供さ
れている演習コースをリスト化した「マッピングリスト」に展開し、自組織に
どんな演習が有効で、市場に具体的にはどんな演習コースがあるのか?をナビ
ゲーションしました。
今回公開しました「解説書」「リスト」も、まだまだ道半ばだと認識しており
ます。この成果物をJNSA会員の皆さまを含め多くの企業・団体の皆様にご利
用していただき、フィードバックを頂戴してこそ、より多くの組織の皆様のお
役に立てるものと考えています。
サイバーセキュリティ演習が普及し、「経験“知”の向上により、攻撃を受けても
立ち直りが早くなった」ついては「避難訓練のごとく経験“知”向上のために演
習は毎年定期的に実施すべき」というニューノーマルが一般的になってくれる
ことを願いつつ、コラムの締めとさせていただきます。
末筆となってしまいましたが、成果物の構成や執筆などご協力いただきました
皆様には感謝申しあげます。
[企業レジリエンス向上のための サイバーセキュリティ演習マップ解説書]
https://www.itrenmei.jp/topics/2021/3685/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第211号の感想をお寄せください。
https://ux.nu/irkqN
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★5月17日から20日に開催されます「RSA Conference 2021 Virtual」に
日本パビリオンを出展いたします。
プレスリリースを掲載いたしました。
https://www.jnsa.org/press/
★「SECCON2021」サイトオープンしました。
今年度初回の開催は「SECCON Beginners CTF 2021」となり、
5月22日から23日に開催されます。
https://www.seccon.jp/2021/
★2021年度のJNSA部会・ワーキンググループ活動情報を公開しました。
https://www.jnsa.org/active/2021/act.html
【事務局からのお知らせ】
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第211号
発信日:2021年5月14日
発 行:JNSA事務局 office@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第211号 をお届けします。
JNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは大日本印刷株式会社の谷建志様にご寄稿いただきました。
【連載リレーコラム】
「サイバーセキュリティ演習マップ解説書」の公開
大日本印刷株式会社/株式会社サイバーナレッジアカデミー
一般社団法人 日本IT団体連盟 サイバーセキュリティ委員会
サイバーセキュリティ演習分科会
主査 谷 建志
3月5日、日本IT団体連盟 サイバーセキュリティ委員会 サイバーセキュリ
ティ演習分科会より、企業レジリエンス向上を目的として「サイバーセキュリ
ティ演習マップ解説書」と併せて「サイバーセキュリティ演習マッピングリス
ト」を公開いたしました。
日本IT団体連盟(通称:IT連)については、あまりご存知ない皆さまもいらっ
しゃるかもしれませんが、実はJNSAも加盟団体として名を連ねているほか、
JSSEC(日本スマートフォンセキュリティ協会)、CSAJ(コンピュータソフト
ウェア協会)、JAIPA(日本インターネットプロバイダー協会)等60以上のIT
業界団体が加盟しており、およそ5,000社、社員数でいうとおよそ400万人を
束ねる日本最大級のIT業界団体です。
まさに今、日本はデータ駆動型経済への変換期を迎え、「データ流通」が新た
な産業発展の源泉となる動きがさらに加速する流れの中にいます。そこで「情
報銀行の立上げ」など新しい枠組みを推進するための政策提言を活発に行って
いる団体です。
一昨年末IT連の中に、JNSAでも事務局長を務められていらっしゃる下村さん
を委員長に「サイバーセキュリティ委員会」が設立されました。委員会の下部
組織にもJNSAで理事・幹事をされていらっしゃる方が多く参加しています。
このサイバーセキュリティ委員会の中にあるサイバーセキュリティ演習分科会
で、今年度一年かけて制作したのが、「サイバーセキュリティ演習マップ解説
書」になります。
この解説書に込めた一番のポイントは、
1)デジタル化が進み、攻撃者の手口がこれ以上発達すると、セキュリティ対策
にも限界がくる
2)最新の対策を実施することと同じくらいに、経営者層やセキュリティ担当は
勿論、全従業員が攻撃者に騙されないように日頃から訓練や演習を通じて対処
態勢を整えておくことが重要
3)しかし、インシデントを体験する機会は通常業務では限られる。
という3点です。
各社・各団体、何らかのセキュリティ対策を講じ、社内外での教育・研修で研
鑽も積まれていることと思います。しかし、仮にいま講じたセキュリティ対策
ツールがアラートを鳴らしたとしましょう、「具体的には、どういう行動をさ
れるでしょうか?」また、「その行動をされているそばから、何かを搾取され
ているか、気づけるでしょうか?気づいたとしたら、何を講じますか?」。
最終的にはセキュリティの専門会社に詳しく調査・分析・対策を依頼されるこ
とになるのではと思いますが、時すでに遅く、インシデントは既にビジネスへ
の被害に及んでいるのではないでしょうか?
つまり、講じた対策で気づくことは出来ても、学んだ知識(解説書では形式
”知”と記載)を「即座に行動に移すこと」「同時に複数のタスクをもれなく行
動すること」を発覚後「初動に対応しなければ、手遅れ」になります。ひい
ては一番大事な「事業の復旧」が遅れます。
例えば、泳ぐことが苦手な方が、教本やビデオで泳ぎ方を学習し、何かの偶然
で海に落ちた時・・・(サイバー攻撃は偶然ではありませんが)服を着たまま、
水温が低く荒れた海に、しかも夜、偶然に落ちたショックを抱えながら、頭で
覚えたことを、更に数々の不測の条件の中で行動に移せるでしょうか?泳ぐ経
験、泳いでみないと体感できない経験が事前にできていれば、だと思います。
解説書では「経験“知”の必要性・重要性」として説明しています。
平常時に、身体に覚え込ませるために定期的に演習を体験し、「被害に遭うこ
とを前提に」
・「判断の訓練」・「行動の訓練」・「課題抽出の機会」
を繰り返しておくことで、「組織としてのセキュリティ対策のスパイラルアッ
プ」の流れを作り、色々な手口の未知の攻撃がきても「この攻撃は、あの時経
験したパターンに似ている」と気づき、一秒でも早い的確な初動対応で、被害
の鎮静と、ひいては早急な事業復旧の確保というレジリエンスの獲得で、ビジ
ネスの儲けを最大限確保することこそがサイバーセキュリティ演習の最終目的
となります。
解説書では「組織を四象限に整理」し「各象限に有効な演習形式を紐づけ」更
に、今般改正されました「ITSS+の企業内の役割」に分解し、現在市場で提供さ
れている演習コースをリスト化した「マッピングリスト」に展開し、自組織に
どんな演習が有効で、市場に具体的にはどんな演習コースがあるのか?をナビ
ゲーションしました。
今回公開しました「解説書」「リスト」も、まだまだ道半ばだと認識しており
ます。この成果物をJNSA会員の皆さまを含め多くの企業・団体の皆様にご利
用していただき、フィードバックを頂戴してこそ、より多くの組織の皆様のお
役に立てるものと考えています。
サイバーセキュリティ演習が普及し、「経験“知”の向上により、攻撃を受けても
立ち直りが早くなった」ついては「避難訓練のごとく経験“知”向上のために演
習は毎年定期的に実施すべき」というニューノーマルが一般的になってくれる
ことを願いつつ、コラムの締めとさせていただきます。
末筆となってしまいましたが、成果物の構成や執筆などご協力いただきました
皆様には感謝申しあげます。
[企業レジリエンス向上のための サイバーセキュリティ演習マップ解説書]
https://www.itrenmei.jp/topics/2021/3685/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン第211号の感想をお寄せください。
https://ux.nu/irkqN
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★5月17日から20日に開催されます「RSA Conference 2021 Virtual」に
日本パビリオンを出展いたします。
プレスリリースを掲載いたしました。
https://www.jnsa.org/press/
★「SECCON2021」サイトオープンしました。
今年度初回の開催は「SECCON Beginners CTF 2021」となり、
5月22日から23日に開催されます。
https://www.seccon.jp/2021/
★2021年度のJNSA部会・ワーキンググループ活動情報を公開しました。
https://www.jnsa.org/active/2021/act.html
【事務局からのお知らせ】
★JNSAソリューションガイドJNSAソリューションガイドでは、会員企業が
開催するオンラインイベント/セミナー情報をご覧いただけます。
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
★無料でご利用いただけます!「情報セキュリティ理解度チェックサービス」
https://slb.jnsa.org/eslb/
組織の情報セキュリティ向上のための一助としてご活用下さい。
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。ご注意ください。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
office@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第211号
発信日:2021年5月14日
発 行:JNSA事務局 office@jnsa.org
*************************************