第1回 情報セキュリティ責任者の役割
1.1.セキュリティ事故を未然に防ぐための体制づくり
医療機関では日々さまざまな判断をしながら運営されており、その判断によって、組織の機能を維持、成長させています。これは情報セキュリティ分野でも同様です。組織内外の情報を収集し、どのような活動をしていくのかを判断する必要があります。
このように自組織内および関係する様々な組織の情報を集約し、それによって判断、維持改善をしていく活動を「ガバナンス」と呼んでいます。セキュリティガバナンスにおいては、どのような体制を作り、情報を収集していけば良いのでしょうか。
まずは判断を実施する役割を配置する必要があります。
この役割は一般的に「情報セキュリティ責任者」や「CSO/CISO(Chief Security Officer/Chief Information Security Officer)」と呼ばれています。
情報セキュリティ責任者は必ずしも最新のセキュリティ事情などに精通している必要はありませんが、病院内の業務についてはよく理解して、それぞれの業務の責任者と十分なコミュニケーションをとることができなければなりません。それは、業務への影響を正しく理解し、経営層に対して対応コストの説明ができなければならないからです。
- 上記を考慮し、病院内で情報セキュリティ責任者に相応しい人は誰ですか。
- 情報セキュリティ責任者がコミュニケーションをとった方がよい業務責任者を全て挙げてください。
1.2.情報セキュリティに関するコミュニケーション
前項で挙げた「情報セキュリティ責任者がコミュニケーションをとった方が良い業務責任者」と、どのような会話をすれば良いのでしょうか。
情報セキュリティにおいては、事故の発生と影響という2つの視点で判断をしていくことになります。
まず、事故が発生する理由は組織の中に攻撃の対象となる弱点があるためです。これを情報セキュリティでは「脆弱性」と言います。たとえばコンピュータウイルスが感染するのは、Windows7や8などの古いOSを利用していたり、修正プログラムを適用していない古いアプリケーションを利用していたりするためです。また、作成者が不明なアプリケーションやアプリケーションの操作を自動化する機能である「マクロ」や、簡易的なコンピュータプログラムである「スクリプト」を使っている場合も同様です。
この脆弱性をなくしていくことをセキュリティ対策と言います。まずは、組織の中にどのような脆弱性が存在しているかを把握し、その対応を行わなければなりません。脆弱性の管理においては、どのようなIT資産が組織の中に存在し(=インベントリ管理)、どのような状態にあるのか(=構成管理)を把握することから始めます。
ITガバナンスが効いている組織では、IT部門もしくは資産管理部門がこれらの情報を一元的に管理しているはずですが、医療機関などではそれぞれの医局や部門で独自に管理していることもあり、それらを把握できていないことがあります。セキュリティ事故が発生し、被害が拡大しているケースの多くはこれが原因となっています。
ワークショップ:
- 組織のIT資産を管理するためには、IT資産の調達がどのように行われているのかを把握する必要があります。業務責任者に相談しながら、すべてのIT資産について把握するための準備をしましょう。
- 継続的にIT資産を把握するために、どのような頻度で情報収集するのが良いかを考えてみてください。
1.3.脅威および脆弱性に関する情報の入手
脆弱性情報を入手する場合には、脅威情報と合わせて入手するのが良いでしょう。それは、どのような脅威(攻撃)が世の中に存在していて、それがどのような影響を与えるのかということがわかるからです。
国内では独立行政法人情報処理推進機構(IPA)が脆弱性や脅威に関する情報を提供しています。主にコンピュータウイルスを含むマルウェア全般について国内の情報を入手可能です。
https://www.ipa.go.jp/security/vuln/documents/index.html
国内の情報セキュリティ事故に関する分析や情報発信をしている一般社団法人JPCERTコーディネーションセンター(JPCERT)も注意喚起として情報を公開しています。
https://www.jpcert.or.jp/at/2022.html
IPAとJPCERTは米国国立標準技術研究所(NIST)との連携により、脆弱性のデータベースも公開しています。
https://jvndb.jvn.jp/index.html
これらの情報源から得られた脆弱性情報を自組織内のIT環境と照らし合わせることで、サイバー攻撃を受ける可能性とその影響について判断することができます。
ワークショップ:
- 脆弱性情報を定期的に入手するためにどのような仕組みを構築するのが良いでしょうか。
- 脆弱性が及ぼす影響を判断するためには、どのような情報が必要でしょうか。
1.4.様々な情報の入手と対応を省力化する
情報セキュリティ責任者の仕事のひとつとして「組織内の脆弱性管理」を挙げましたが、これだけでも非常に大きな仕事になっており、一人では作業ができないかもしれません。しかし、脆弱性管理は情報セキュリティ対策の必須項目であるため、おろそかにできないことも事実です。
多くの医療機関では情報セキュリティ担当部門に十分な人材を確保できておらず、小規模医療機関においては責任者の任命さえ難しいという状況かもしれません。
このような中で、脆弱性管理を省力化するためには、セキュリティベンダーやITベンダーが提供している脆弱性管理ソリューションを活用するのも良いでしょう。脆弱性管理ソリューションに必要な機能は以下のとおりです。
●インベントリ管理機能(デバイス、アプリケーション)
組織内に存在するPCやタブレット、スマホを一覧表示する機能に加えて、そこにインストールされているOSやアプリケーションとそのバージョンについて一覧できる機能が提供されていること。
●脆弱性管理機能
脆弱性に関する情報を収集し、公開している著名なデータベースである「CVEデータベース」などで公開されている脆弱性を一覧する機能に加え、インベントリ管理で収集したOSやアプリケーションの脆弱性に対して、適切な修正プログラム(パッチ)が適用されているかを確認することができる機能が提供されていること。できれば、パッチ適用の自動化や中央管理ができる機能が提供されていると望ましい。
●標準PCの準拠性確認機能
業務に必要のないアプリケーションがインストールされていることによる脆弱性の増大や管理の複雑さを避けるために、デバイス標準を設定し、準拠性を確認します。そのための機能が提供されていること。
これらの機能は単独で提供されている場合もあれば、ひとつのダッシュボードで提供されていることもあります。また、セキュリティスコアとして点数表示されるような機能を有しているものもあり、情報セキュリティ活動の進捗がわかるようなものもあります。
セキュリティ専門家を雇い入れることが難しい状況では、ツールを使った効率化は非常に効果的です。また、広く利用されているツールを選択した場合、ユーザコミュニティが形成されていることもあり、外部との情報交換によって知識や経験を高めていくことも可能です。
ワークショップ:
- セキュリティ専門家1名を雇い入れるためのコストはどの程度になるかを計算してみましょう。専門家の知識や経験を最新にするための維持にかかるコストについても含める必要があります。
- 脆弱性管理に関するソリューションについて調べてみましょう。例示した機能についてのサンプル画面などを見ながら、使いや吸い物を検討し、年間のコストについて計算してみましょう。
- 上記の結果を踏まえ、どちらが組織にとって有効かを検討してください。
1.5.第1回「情報セキュリティ責任者の役割」のまとめ
情報セキュリティ責任者の役割において最も重要なのは、組織に存在する脆弱性の把握とその修正です。最近では脆弱性のない環境、もしくは許容できる範囲に治っている環境を「サイバーハイジーン(衛生)」と呼び、攻撃に強い環境の代名詞ともなっています。
情報セキュリティ責任者は、組織の内外に、自らの組織はハイジーンが適切にできていると自信を持って言えることを目標に活動していけたらと思っています。
次回はセキュリティ対策の計画について解説します。
作成:日本マイクロソフト株式会社 CSO 河野省二
監修:一般社団法人ソフトウェア協会 理事 萩原健太
