ナレッジ

中国におけるセキュリティ対策手法~セキュリティアセスメント~

APリスクアドバイザリー ニュースレター(2021年2月8日)

中国ではまもなく春節のシーズンを迎え、華やかな飾り付けと雰囲気が街に溢れる時期になりますが、一向に収まる気配を見せないコロナ禍の影響で、今年は少し様相が異なっています。世界に先駆けて新型コロナウイルスの 封じ込めに成功しているように思えた中国ですが、ここ最近新規の感染者が増加してきており、特に寒さの厳しい華北地域の一部都市では、武漢以来の都市封鎖が実施される等緊張が高まってきています。

例年数十億人の移動が中国内で発生する春節ですが、今年は新型コロナウイルスの感染拡大を防止する観点から、政府はこの時期の帰省等による移動を控え、職場のある地域に留まるよう要請を出しています。留まるものには奨励金を出すよう企業に働きかけ、移動を少しでも減らそうと躍起になっている一方で、従業員としては移動制限によって移動が困難になるのを恐れ、予定を早めて帰省する動きが出る等、春節を前にしてここ北京でも、例年とは異なる雰囲気に包まれています。

さて、新型コロナウイルスが世界に猛威を振るい始めて早一年となりますが、ニュースレター「中国サイバーセキュリティ法への対応状況と取り組み事例」においても紹介したように、中国でも外部からの悪意あるサイバー攻撃が増加しており、企業の重要情報や顧客の個人情報の漏洩により事業の継続に重大な影響を与える事例が相次いでいます。実際に中国拠点がサイバー攻撃を受け、そこから本社のサーバに侵入され本社の重要情報が漏洩する事例もあります。一度攻撃を受けると自拠点だけでなく、本社や他国拠点にも瞬く間に重大な損害をもたらすおそれもある事から、昨今の状況下においてはセキュリティリスクを重要な事業リスクの一つと捉え、ここ中国でも中国拠点自身の責任として、サイバー脅威への対策強化を図る必要性が高まってきています。

今回は、上記ニュースレター「中国サイバーセキュリティ法への対応状況と取り組み事例」において、サイバー脅威に対抗する上で法規制対応にとどまらない実効性あるセキュリティ対策の取り組み事例の一つとして言及したセキュリティアセスメントについて、その具体的な手法について紹介したいと思います。

セキュリティアセスメントの目的は、企業全体のセキュリティ体制を俯瞰し、どこに脆弱性があるか、およびその程度を把握する事にあります。管理面での評価、および技術面での評価の2つの観点から評価を実施する事で効果的な評価が可能となります。

管理面での評価においては、ISO27001、 NIST SP 800等の情報セキュリティの国際規格に基づき、情報セキュリティ管理フレームワークを活用して主に企業の管理面についての評価を実施します。この中には、情報セキュリティ確保のための方針・詳細規定の有無及びその内容の評価、セキュリティに対する従業員の理解・教育の程度の評価等が含まれます。また、中国サイバーセキュリティ法等の関連法規制への順守状況の評価も合わせて実施します。

技術面のセキュリティ評価

技術面のセキュリティ評価
※クリックすると画像を拡大表示します

技術面の評価においては、一般的に図のように企業をとりまくネットワーク環境をアプリセキュリティ、サーバ/端末セキュリティ、ネットワークセキュリティ、クラウドセキュリティの4つに区分した上で評価を実施します。具体的には、アプリセキュリティにおいては、ペネトレーションテスト等を通して、Webアプリ等を対象にデータ漏洩・システム障害・サイト改ざん等の重大な事故に繋がるようなセキュリティ上の脆弱性を特定します。サーバ/端末セキュリティにおいては、主にパスワードセキュリティ、ユーザーアクセス権限、バックドア等の観点から、セキュリティ課題を特定します。

さらにネットワークセキュリティにおいては、ネットワークアーキテクチャ、重要なネットワーク機器の設定・構成の分析を通じてネットワーク環境に存在する脆弱性を特定し、クラウドセキュリティにおいては、クラウドサービスプロバイダに安全性に関する証明書の提供を要求した上で、クラウドセキュリティの国際基準に従いセキュリティ面の評価を実施します。クラウドサービスについては、近年中国でも利用が拡大していますが、誰でも気軽に利用しやすいという利点がある一方、データ侵害、ID・アクセスの不十分な管理といった新たな脅威も識別されており、セキュリティをクラウドプロバイダーにまかせっきりにするのではなく、IaaS、PaaS、SaaS等の利用するクラウドサービスのタイプに応じたセキュリティを企業としても確保する必要があります。

上記のように管理面、技術面からセキュリティアセスメントを実施する事で、企業のセキュリティ上どこに脆弱性・課題があるのかを明確にし、限りある予算の中優先順位を設け、効果的にセキュリティ強化を図る事が可能となります。

 

アセスメントレポート(サンプル)

アセスメントレポート(サンプル)
※画像をクリックすると拡大表示します

デロイト トーマツ グループでは、今回紹介したセキュリティアセスメントを始め、そこから抽出された課題としてID/アクセス管理の強化・クラウドセキュリティ対応等の各個別領域におけるセキュリティ強化、インシデント対応等、総合的なセキュリティ強化支援を行っており、企業のニーズに応じた支援が可能です。詳細については当グループのプロフェッショナルまでお問い合わせください。

著者:加藤 宗一郎
※本ニュースレターは、2021年2月8日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?