情報処理推進機構(IPA)は3月27日、「ASM診断および事例集作成業務」報告書を公開した。
これは、ASM(Attack Surface Management)ツールを活用してIT資産や脆弱性を客観的に把握することにより、リスク低減に向けた対策を促進すること、中小企業のセキュリティ意識向上を図ることを目的に実施された。
IPAは報告書作成にあたり、複数業界・複数規模の中小企業を対象にASM診断を実施するとともに、アンケート調査およびヒアリング調査を行い、業種別の傾向等を分析。また、中小企業のシステムにおいて脆弱性が悪用された場合の被害を想定し、診断結果に基づく実際の対応状況を踏まえて、攻撃シナリオおよび実施すべき対策をまとめた事例集を作成した。
●ASM診断
126社の中小企業を対象に実施。診断の結果、全社において何らかの脆弱性を検知。診断レポートには、リスクスコア、想定被害額、リスクレベル別の検出数、インターネット上に流出しているデータ等を掲載している。
●アンケート調査
ASM診断を実施した126社を対象に、Webアンケート形式で実施。設問は全16問で、選択式が中心。
●ヒアリング調査
アンケート結果等から選定した10社を対象に実施。主に意思決定プロセスや対策実施時の課題、インシデントの実態、伝えたい経験や工夫等について調査。
●事例集について
ASM診断、アンケート調査およびヒアリング調査を実施して得られた結果をもとに、脆弱性事例(20事例)、被害事例(5事例)、取組事例(5事例)に分類、計30事例を収録。
中小企業が直面しやすい弱点、被害の影響、早期に取り組める対策を実例に基づき分かりやすく整理し、以下のようなさまざまな場面での活用を想定して構成。
・対策のアイデアを工夫する場面で活用する事例:他社事例を参考に、自社で実践できるセキュリティ対策を検討する際に活用(例:自社に近い規模の企業が実践した改善策の確認として“取組事例”を活用)。
・社内でインシデントの被害リスクを説明する場面で活用する事例:社内教育や勉強会で、被害の実態と必要な対策を伝える際に活用(例:社員向けセキュリティ研修の教材として“脆弱性事例”と”被害事例”を活用)。
・今すぐできるセキュリティ対策を確認する場面で活用する事例:初期的に取り組める対策を把握し、第一歩を踏み出す際に活用(例:今日から着手できる設定変更や運用ルールの見直しとして”すぐできる対策”を活用)。
・経営層に対してセキュリティ対策の提案をする場面で活用する事例:経営層との相談や予算確保のための説明材料として活用(例:リスクと費用対効果を説明する際の根拠資料として“被害事例”を活用)。
関連リンク