サイバー攻撃のリスクに備える監視活動
01
セキュリティリスクに備えるための監視活動
ISMS新規格「ISO/IEC 27001:2022」で新たに追加された管理策の「 監視活動」とは、ネットワークやシステム上の異常な動作や行動を検出できるようにし、情報セキュリティインシデントの可能性を評価できるようにするためのものです。もう少しわかりやすくいうと、マルウェア感染やサイバー攻撃など、セキュリティ上よくないことが発生していないかを発見するために、また万が一、そのようなことが起こったときに、初動対応や原因究明を円滑に進められるように、社内のインターネットアクセスに関するログを収集し、分析しましょう、という取り組みです。
なにから検討すべきか?
02
監視活動のプランニング
監視活動について検討するためには、まず最初に何を監視対象にするか、またどのくらい詳細に監視するかを決める必要があります。監視結果はログという形で保存されます。したがって、監視活動を検討するにあたり、
- 何のログを取るのか
- どのくらい詳細なログを取るのか
- ログの分析で何を知りたいのか
- いつ、誰がどのようにログを分析するのか
などを決める必要があります。
特に難しいのは最後の2点です。ログに出てくる情報を理解し、そこから社内で何が起こっているのかを推定し、有事の際にはログ情報をもとに対策を立てなければなりません。仮にログが大量にあったとしても、それを扱う人員とノウハウがなければ宝の持ち腐れになってしまいます。
したがって、まずは監視活動にどれだけのリソースをかけて、厳密に監視するかについての方針を決める必要があります。
ISMSでは、「このレベルでなければならない」という規定はありませんので、監視活動をこれから取り入れるという組織は、無理のないところから徐々に強化していくべきでしょう。