2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは
特定非営利活動法人日本セキュリティ監査協会(JASA)は1月6日、情報セキュリティ監査人が今年の監査計画を考える上でテーマとして活用することを目的に「情報セキュリティ監査人が選ぶ2021年の情報セキュリティ十大トレンド」を取りまとめ公表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
JASAでは、同協会の公認情報セキュリティ監査人資格認定制度により認定を受けた情報セキュリティ監査人約1,800人を対象にアンケートを実施、情報セキュリティの十大トレンドを選出した。
JASAによると2021年の情報セキュリティトレンドは、全体的にコロナ禍における急激な働き方の変化を、これからのニューノーマルとしてどう対応していくのかに注目が集まった結果となった。従来からの脅威であった標的型攻撃やフィッシング詐欺などに対しても、手法の高度化や在宅環境など新たな環境の出現に伴い、引き続き対策を進めて行く必要があるとしている。
1位:テレワークニーズに追いつかないセキュリティ対策
【監査ポイント】
・テレワーク導入に伴い、ネットワークシステムや、データ保管の場所など、従来のセキュリティポリシーや社内ルールに違反している箇所はないか。
・テレワーク導入に際し、適切なリスク分析と対策がとられているか。VPN 接続や社外に分散するデータにアクセスする認証強度、自宅設置PCのセキュリティ対策は十分か。
2位:史上最悪の天災やパンデミックなどに対応できるIT-BCPへ
【監査ポイント】
・史上最大級の天災や、COVID-19などのパンデミックを想定したビジネスインパクト分析が行われ、経営陣に承認されたものとしてIT-BCPへの要求が明確になっているか。
・IoTやクラウドの利用、テレワークの推進などによる業務プロセスのIT基盤への依存度の変化が的確に把握されているか。
3位:止まらない、安全なクラウドサービスへ広がる要求
【監査ポイント】
・プロバイダのクラウドサービスについて、サービスの目的に合った適切な管理基準、管理策が選択されているか。
・プロバイダのクラウドサービスについて、管理策の解釈に相違は無いか、管理策は適切に実装が行われているか。
4位:標的型攻撃の侵入パターンが多様化
【監査ポイント】
・自システムに繋がる全ネットワーク(拠点間NW・VPN回線)からの通信において、不正な通信を監視し発生時には自動的な検知と必要に応じた通信の遮断と発生理由を把握できる仕組みがあるか。
・クラウドサービスを含めすべての管理者アカウントの異常な利用を感知し、発生理由を把握できる仕組みがあるか。
5位:頻発する大規模システム障害への対応
【監査ポイント】
・システムの開発保守におけるセキュリティ要求事項(ISO27002の14.1及び14.2)が実装され運用されているか。
・情報セキュリティインシデント管理及び事業継続に関わる管理策が実装され運用されているか。
6位:在宅勤務のセキュリティ対策に求められる説明責任
【監査ポイント】
・組織の情報セキュリティ責任者が、在宅勤務・リモートワークに関わる基本方針を定めているか。
・在宅勤務・リモートワークに関わるリスクの洗い出しが行われているか。
7位:手法の高度化が進む金銭目的のサイバー攻撃
【監査ポイント】
・金銭目的でのサイバー攻撃を想定した業務フローの更新を行っているか。
・セキュリティ担当、IT担当の社員のみならず一般の従業員に対しても研修や訓練等を行っているか。
8位:在宅勤務者を踏み台にして組織を狙うフィッシング詐欺の横行
【監査ポイント】
・フィッシングメールについて在宅勤務者に教育し、誤って入力してしまった際にとるべき措置について教育されているか。
・メール容量警告やパスワード期限切れ警告など、システムからの通知を装ったフィッシングメールを隔離できる仕組みがあるか。
9位:EasyなネットサービスのEasyな拡大がなりすましの温床に
【監査ポイント】
・サービス登録時の本人確認は決済・送金額と扱うデータのリスクに応じた手段と証拠に基づいて行っているか。
・サービス利用時の本人認証は、なりすましを防止できるか。
10位:ニューノーマルに対応した新たな情報セキュリティ監査
【監査ポイント】
・リモート監査といわれるWeb会議等を通じた質問やビデオ撮影等の間接的な手段など、様々な工夫で監査の努力が行われているが、短期的には監査リスクが増えることは避けられない。このため、管理策がより確実に実施されるような取り組みが必要であり、自主点検の強化や管理手順に確認やモニタリングのプロセスを加えるなど、ミスを減らす工夫が必要で
ある。
・中長期的には、モニタリング等を含めてシステム化を推進することが必要で、情報セキュリティ監査のDXを検討するよい契機にしたい。
《ScanNetSecurity》
![2020 総括/SolarWinds 介しサプライチェーン攻撃/不完全パッチによる残留 0day 公開 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/33082.jpg)
