このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第5章 米国の金融機関が参考とすべき対策方針、対策基準
米国の政府機関が参考とすべき対策方針、対策基準は既に説明した通り、NISTが非常に多くの詳細なガイドラインを出しており、非常に参考になりますが、米国の金融機関が参考とすべき対策方針、対策基準についてもFFIEC(Federal Financial Institutions Examination Council:米国連邦金融機関検査協議会)が詳細かつ大量のガイドラインを作成し、ウェブサイト上に公開していますので、非常に参考になります。
FFIECは、金融機関の監督にあたり、同一の原則、基準、報告様式を作成し、同一性を促進するために設立された、5つの金融監督当局からなる省庁間の協議体です。米国では、金融機関の種類によって、監督当局が異なるため、連邦準備銀行、連邦預金保険公社など、5つの金融監督当局があります。
以前は、FFIEC IT Examination Handbookというもので一つにまとまっていましたが、今は、FFIEC IT Examination Handbook Infobaseとして、以下の分野に分かれて記載されています。
・Audit
・Business Continuity Management
・Development and Acquisition
・e-Banking
・Information Security
・Management
・Operations
・Outsourcing Technology services
・Retail Payment Systems
・Supervision of Technology Service Providers
・Wholesale Payment Systems
全ての分野について内容を見ていくことはできないため、Information Securityについて、その内容を見ていきたいと思います。Information Securityの分冊の構成は以下のとおりです。
I 情報セキュリティプログラムの統制
I.A セキュリティカルチャー
I.B 経営陣の役割と結果責任
I.C 資源配分
II 情報セキュリティプログラムのマネジメント
II.A リスクの特定
II.A.1 脅威
II.A.2 脆弱性
II.A.3 サイバーセキュリティリスクの管理とツール
II.B リスク測定
II.C リスク低減
II.C.1 ポリシー、対策基準、実施手順
II.C.2 テクノロジーの設計
II.C.3 管理策のタイプ
II.C.4 管理策の実行
II.C.5 資産の台帳管理と分類
II.C.6 連結リスクの低減
II.C.7 ユーザーのセキュリティ管理策
II.C.8 物理的セキュリティ
II.C.9 ネットワークの管理
II.C.10 変更管理
II.C.11 エンド・オブ・ライフ管理
II.C.12 マルウェアの低減
II.C.13 情報の管理
II.C.14 サプライチェーン
II.C.15 論理的セキュリティ
II.C.16 金融サービスへの顧客からのリモートアクセス
II.C.17 アプリケーションのセキュリティ
II.C.18 データベースのセキュリティ
II.C.19 暗号化
II.C.20 サービスプロバイダーの監督
II.C.21 事業継続の考慮
II.C.22 ログ管理
II.D リスクのモニタリングと報告
II.D.1 メトリックス
III セキュリティオペレーション
III.A 脅威の特定と評価
III.B 脅威のモニタリング
III.C インシデントの特定と評価
III.D インシデントレスポンス
IV 情報セキュリティプログラムの有効性
IV.A 保証と有効性
IV.A.1 主要なテスト要素
IV.A.2 テストと評価のタイプ
IV.A.3 テストと監査の独立性
IV.A.4 保証の報告
付録A. 検査手順
付録B. 用語集
付録C. 法律、規制とガイダンス
参考までに、最初の部分の和約を以下に記載します。
I 情報セキュリティプログラムの統制
アクションの要約
経営陣は、以下のアクションによって効果的なITガバナンスを促進すべきである。
・効果的な情報セキュリティプログラムと情報やシステムを守る全職員の役割を促進するセキュリティカルチャーを築き上げる。
・全組織をとおして、情報セキュリティ上の責任と役割について明確に定義し、周知する。
・情報セキュリティプログラムを効果的にサポートするために適切な資源を配分する。
I.A セキュリティカルチャー
組織のセキュリティカルチャーは、情報セキュリティプログラムの有効性に大きく貢献します。セキュリティのプロセスが組織のカルチャーに深く組み込まれている時、情報セキュリティプログラムはより効果的なものとなります。
経営陣は、情報セキュリティを理解、サポートし、情報セキュリティプログラムを開発・実施・維持していくための適切な資源を配分しなければいけません。この理解とサポートの結果、経営陣と従業員は、情報セキュリティプログラムをビジネスやサポート機能、委託先管理プログラムと統合することにコミットすることになります。
I.B 経営陣の役割と結果責任
取締役会又は指名された委員会は、情報セキュリティプログラムの開発・実施・維持を監督し、上級マネジメントの行う行為に対し、その結果責任を持たせる責任がある。取締役会又は指名された委員会は、情報セキュリティのビジネスケース(必要な理由、オプション、利点、コスト、リスク等)、情報セキュリティリスクのビジネス上の意味をよく理解し、経営陣に対して方向性を示し、情報セキュリティ計画やポリシー、プログラムを承認し、情報セキュリティプログラムの有効性の評価結果をレビューし、必要に応じて、是正措置のための経営層の勧告を討議するべきである。取締役会又は指名された委員会は経営層に対して、その期待するところや必要要件を示し、経営陣に対して、情報セキュリティプログラムの監督、調整、責任の配分、有効性の結果責任を持たせるべきである。
取締役会又は指名された委員会は、組織の文書化された情報セキュリティプログラムを承認し、プログラムの開発・実施・維持に対して責任があることを公言し、プログラムの全体の状況についての報告書を最低でも年次でレビューをするべきである。
経営陣は、以下の内容を含む、プログラムの全体の状況についての報告書を最低、年に一度は提出すべきである。
・脅威の特定と評価を含む、リスクアセスメントの工程
・リスク受容・リスク回避を含む、リスクマネジメントと管理策の決定
・外部委託先の取り扱い
・テストの結果
・セキュリティ関係規定の違反、法規制の違反、及びそのようなインシデントに対する経営陣の対応
・情報セキュリティプログラムの更新への勧告
また、情報セキュリティの報告書には、経営層は、情報セキュリティプログラム、ポリシー、管理策などに対する経営陣の評価結果、内部監査、外部監査、第三者のレビュー結果などを含めるべきである。
経営陣はまた、以下のことをするべきである。
・取締役会によって承認された情報セキュリティプログラムを実行する。
・情報セキュリティプログラムをサポートするため、適切なポリシー、対策基準、実施手順を整備する。
・セキュリティ上の脅威やインシデントが組織や業務に与える影響を評価するのに参加する。
・情報セキュリティの責任範囲を明確に描き、結果責任を周知する。
・情報セキュリティの脅威やインシデントに関して、取締役会が承認したリスクの閾値を遵守する。
・情報セキュリティプログラムをサポートするリスク低減活動を監督する。
・リスクを特定し、経営層の誰が、いつ、どのようにして、どの程度、特定された脆弱性に関してリスクを受容したかを明確にするリスク受容プロセスを実行する。
・職責分離を確立する。
・情報セキュリティと物理的セキュリティを調整する。
・組織をとおしてセキュリティ管理策を統合する。
・同程度の重大な情報や同程度の機微な情報については、組織の中では、同程度の一貫した保護対策を実施するよう求める。
・この分冊の"Oversight of Third-Party Service Providers" にあるように、委託先における情報セキュリティの責任体制を明確にしモニタリングする。
・特定の情報セキュリティ上の責任を含む、職務記述書や雇用契約を維持する。
・職員に対し、情報セキュリティ教育、及び情報セキュリティに関するコミュニケーションを継続的に行い、職員が少なくとも年1回はそのような研修を受講させる。
経営陣は、情報セキュリティプログラムの実行とモニタリングに対して責任を持ち、結果責任を負う、情報セキュリティオフィサーを少なくとも1人指名するべきである。
情報セキュリティオフィサーは、取締役会や上級経営陣に直接報告すべきで、組織における十分な権威、知識、バックグランド、割り当てられた任務を遂行するための独立性を持つべきである。
情報セキュリティオフィサーは、組織とその顧客を差し迫った情報の喪失から守るため、緊急のアクションを命令し、負の影響をマネージし、重要なサービスの中断を最小化することにより、セキュリティの事象に対して責任を持つべきである。
内部監査人は、効果的な情報セキュリティプログラムを経営陣が維持し、取締役会が監督することを確実にするため、リスクベースの監査プログラムを実行すべきである。
I.C 資源配分
成功した情報セキュリティプログラムを開発、実行、維持するため、経営陣は適切な資金を配分すべきである。また、組織の技術的・経営的ニーズに合致したスキルを持ち、その規模や複雑さリスクプロファイルに相応しい、人材を十分にそろえる必要がある。
II 情報セキュリティプログラムのマネジメント
アクションの要約
経営陣は、以下のことを行う情報セキュリティプログラムを開発、実行すべきである。
・脅威を特定し、リスクを測定し、情報セキュリティの要件を定義し、管理策を実施することにより、組織のITリスクマネジメントプロセスをサポートする。
・リスクの判断がなされる基幹業務やサポート業務と統合する。
・サービスプロバイダーの活動を情報セキュリティプログラムに統合する。
組織は、ITリスクマネジメントのプロセスをサポートする、強く効果的な情報セキュリティプログラムを持つべきである。効果的な情報セキュリティプログラムは以下を含んでいる。
・リスクの特定
・リスクの測定
・リスクの低減
・リスクのモニタリングと報告
詳しくは、IT Examination HandbookのMnagamentの分冊を参照して下さい。
経営陣は、情報セキュリティプログラムを基幹業務やサポート業務と統合すべきである。プログラムを統合することにより、経営陣は、インシデントの発生頻度や組織への潜在的損失を評価し、根本的原因を特定し、特定された問題に対処するための管理策を実行することができるようになる。
システムや基幹業務、サポート業務を外部n委託している組織は、効果的なサービスプロバイダー管理プログラムを通して、これらの活動を情報セキュリティプログラムと統合することを確実に行わなければならない。
II.A リスクの特定
アクションの要約
経営陣は、リスクを特定するためのプロセスを開発、実行すべきである。
効果的になるため、情報セキュリティプログラムは、脅威や脆弱性を継続的に特定するための、文書化したプロセスを持つべきである。脅威や脅威源、脆弱性を分類するための分類法はリスク特定プロセスをサポートするのに役立つ。経営陣は。組織の情報セキュリティリスクのプロファイルを決定するため、これらのリスク特定のための活動を遂行すべきである。
II.A.1 脅威
脅威を特定するプロセスは、経営陣がリスクを特定するのを支援するために潜在的な脅威についてデータを集めるための手段です。脅威モデリングは、組織が潜在的な脅威を集め計量化することを可能にするための構造的なアプローチです。組織は、脅威の性質、発生頻度をよりよく理解し、リスクを評価し、この知識を情報セキュリティプログラムに適用するため、脅威モデリングの使用を検討すべきである。
II.A.2 脆弱性
技術的な脆弱性については、脆弱性診断によりシステムの脆弱性を発見し、追跡することができる。
技術的な脆弱性に加えて業務運営上の弱点がセキュリティ上の脆弱性を生み、組織にリスクをもたらす。これらの脆弱性は、セキュリティ上の手順、管理手続き、物理的なレイアウト、内部管理上の弱点を含む。また、脆弱性は内部のものだけでなく、関連するシステムに存在する場合もあり、サプライチェーンリスクなども考慮する必要がある。
経営陣は、組織が、脆弱性のカタログを特定、維持し、どの脆弱性が組織にとって重大なリスクをもたらすかを決め、当該脆弱性によってもたらされるリスクを低減しモニタリングするためのプロセスと手順を持っているか、評価すべきである。脆弱性を低減しない選択をした場合は、経営陣は、リスクを受容した決定、脆弱性に関連するリスクのレベル、リスク受容に対する結果責任を持つ人物を書面化すべきである。
II.A.3 サイバーセキュリティリスクの管理とツール
(a) サイバーセキュリティリスクの管理
サイバー攻撃の増加や高度化を鑑み、検査官は、組織の全体の情報セキュリティプログラムの有効性を評価するにあたって、サイバー攻撃への備えにフォーカスすべきである。
(b) サイバー攻撃への備えを評価するためのツール
FFIECのメンバーは、組織の経営陣がリスクを特定し組織のサイバー攻撃への備えを評価するのを手助けするため、自主的にCyberscurity Assessment Toolを発行した。他にも、NISTのCybersecurity Framework、Mitre社によって開発された共通アプローチ、US-CERTのNational Cyber Awareness System等、経営陣が情報セキュリティやサイバーレジリエンスを開発、評価するのを手助けするツールがある。
Cyberscurity Assessment ToolのUser's Guideによると、評価は、内在するリスクプロファイルとサイバーセキュリティの成熟度の2つの部分から構成されている。
まず、組織の内在するリスクプロファイルを5つのカテゴリにおいて評価する。
・技術と結合のタイプ
・運搬の経路
・オンライン及びモバイルサービス
・組織の性格
・外部の脅威
その上で、5つの領域における組織のサイバーセキュリティ成熟度を評価する。
・サイバーリスクのマネジメントとオーバーサイト
・脅威情報と協力
・サイバーセキュリティの管理策
・外部への依存の管理
・サイバーインシデントの管理と復旧
これらの評価を行うことにより、組織のサイバーセキュリティ成熟度がそのリスクに対して適切なものか判断し、そのリスクのレベルを減らすか、サイバーセキュリティ成熟度を上げるかのアクションを起こすことができます。
II.B リスク測定
アクションの要約
経営陣は、組織に内在するリスクを測定するためのプロセスを開発すべきである。
リスク測定プロセスは、組織の内在するリスクを理解し、違った脅威に関連するリスクを判断するのに使用されるべきである。経営陣は、リスクの測定を低減策の推奨を導くのに使用すべきである。脅威分析ツールは、情報セキュリティに関連するリスクの測定を理解し、支援する手助けする。
詳細は、"Management"の分冊を参照してください。
"Management"の分冊を見ると、組織は、以下の要素を含むリスク測定プロセスを開発すべきであると記載しています。
・定性的方法又は定量的方法又はその組み合わせによるリスク測定
・リスクは単独では存在しないという認識
・リスク測定結果を元にしたリスクの優先順位
II.C リスク低減
リスクを特定し測定したら、経営陣はリスクを低減するための適切な計画を作成、実行するべきである。この計画には、現在の管理環境の程度と質についての理解を含んでいるべきである。管理策の強さ又はリスクを低減する能力を評価するとき、組織は、個別の管理策ではなく、管理策のシステムを考慮すべきである。
また、経営陣は、サイバー攻撃の脅威や脆弱性に関する情報を様々な先から入手、分析し、対応しなければならない。
(以下、省略)
(以上、出典:FFIECウェブサイト https://ithandbook.ffiec.gov )