航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
CSIRT成熟度評価サービス
日本企業のCSIRT(Computer Security Incident Response Team)は多くの課題を抱えながら、セキュリティ対応における重要な任務を実行しています。当サービスでは、他社のCSIRTと比べた成熟度を理解できるよう、自社のCSIRT機能を評価し、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することで、CSIRTの課題解決をサポートします。
該当サービスが必要な背景
デジタル化の進展により、企業がセキュリティ対応をすべき範囲が拡大しています。同時にサイバー攻撃もデジタル技術を活用し高度化・巧妙化していることから、企業のIT環境のセキュリティ確保はこれまで以上に難しくなっており、セキュリティインシデントに直面するリスクが高まっています。そのためCSIRTは守るべきシステム、資産、サービスなどを常に意識しながら業務にあたることが求められます。
セキュリティ対策は年々高度化し、あらゆる業種の企業が日々サイバー攻撃を受け、自社の提供サービスに深刻なダメージを及ぼしかねないリスクに晒されています。しかし、CSIRTが企業のセキュリティ対応に対して組織としてどこまでサービス提供できているか、自己診断をしている日本企業は少なく、自社の組織が正しく運営できているかが分からないままセキュリティ対応を実施していることが多々あります。
PwC JapanグループはCSIRTのアセスメントを行うことで、現在の課題を洗い出し、その解決に向けたアドバイスを提供します。CSIRTが直面する組織、人材、ツール、プロセスにおける課題について、他社のCSIRT組織に比べて足りていない機能を可視化することで、解決策を検討することが可能になります。
当サービスの提供を通じ、日本企業のCSIRTのセキュリティ対応を底上げし、技術の漏洩防止や事業継続の向上に貢献することを目指します。
組織
- CSIRTの役割と責任が組織の中で明確になっていない
- CSIRTは責任に応じた権限が与えられていない
- CSIRTと業務部門との権限が明確になっていない
人材
- CSIRTの構成要員は、他部署(情報システム部など)との兼務であり、十分な専門性を有しているとは言えない
- CSIRTの構成要員に対する社内外の教育機会が積極的に設けられていない
- 専門性のある構成要員を確保できない
ツール
- インシデント発生時あるいは予兆のある時に、CSIRTが調査するための異常検知および調査のためのツール群にアクセスできない。または情報不足のため調査ができない
- インシデントを登録し、事象を追跡するためのITSM(ITサービスマネジメント)が構築されておらず、過去のインシデント対応に関する履歴が残っていない
プロセス
- インシデント発生時にCSIRTから経営へのエスカレーションルートおよびその基準が明確になっておらず、担当者の判断次第となっている
- インシデント対応の手順が標準化されておらず、担当者の独自の判断で都度対応している
サービス内容
CSIRT成熟度評価の各種フレームワークに対する知見と、CSIRTの構築や第三者評価の経験を踏まえ、CSIRTアセスメントおよびアクションプランの策定支援を行います。客観的に自社のCSIRTを評価することで、CSIRTの成熟度レベルと課題を理解し、目標レベルまで到達するためのアクションを明確にするとともに、他組織のCSIRT成熟度レベルと比較することが可能となります。
ステップ1:CSIRT評価の各種フレームワークをベースにヒアリングやアンケート、資料の検証を行い、分析、評価を行います。
ステップ2:評価結果に基づき課題の優先度付け、改善案の検討、アクションプランの策定を行います。
ステップ3:アクションプランに基づく改善活動に対する助言と実行支援を提供します。
CSIRT成熟度評価サービスを活用するメリット
当サービスにより、自社のCSIRT機能を評価することで、客観的な目線で課題を洗い出し、実効性のある改善計画を策定することができ、CSIRTの課題に対する予算確保の一端をサポートすることが可能です。
①他社と比較しにくい自社のCSIRT機能について客観的な評価が可能
世界的に知られているフレームワークを活用することで、自社のCSIRT機能について客観的かつ網羅的な目線で評価することができます。4つのカテゴリーを評価して、自社で改善が必要な機能を洗い出します。自社では気づくことができない課題を客観的に評価することで、CSIRTの機能をより強固にする道筋が理解できます。
②サイバーセキュリティ専門家の知見を活用することでアクションプランが明確に
PwCには、CSIRTの評価・構築に限らず多数のサイバーセキュリティ専門家が在籍しています。サイバーセキュリティに関する豊富な知見と経験を活用することで、評価後のアクションプラン策定をより実効的なものにすることが可能です。他社の動向や海外の規制等も考慮した体制構築など、専門性の高いニーズに対する支援も可能です。
③経営層に対してCSIRTの課題を説明することをサポート
日本企業のCSIRTでは、セキュリティの専門的知見や人的リソースの不足により、他部署との兼務で人員を配置しているというケースも見受けられ、課題があると認識していても予算を確保することが難しい場合があります。客観的なCSIRT成熟度の評価とアクションプランの策定を行うことで、自社の課題を経営層に対して説明する際のサポートが可能です。
インサイト/ニュース
20 results
Loading...
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
悪用された脆弱性の傾向分析
2023年1月から2025年1月までの2年間にサイバー攻撃に悪用された脆弱性について、仮説をもとに一定の傾向が存在しないか分析した結果について解説します。
サイバーセキュリティ分野におけるセキュリティ・クリアランス制度の諸外国の活用動向調査
日本では経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進行中です。諸外国のセキュリティ・クリアランスに関わる組織運営の事例を踏まえ、国内組織で想定される準備策や留意点をまとめました。
Loading...
