Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

豪州の企業セキュリティ標準への取り組み

オーストラリアのモリソン首相が「国家ベースの高度なサイバー攻撃を受けている事を発表したのは6/19ですが、早くも対策検討に着手しています。

ia.acs.org.au

 

Standards Australiaは、ベースラインのサイバーセキュリティ標準と業界固有の拡張の確立を任務とする業界代表の新しいタスクフォースを立ち上げました。

今月初めて会合を開いた新しいタスクフォースは、業界標準設定機関をサイバーセキュリティ開発グループであるAustCyber​​およびNSW政府と連携させ、そのメンバーが「セクターを通じてオーストラリアの業界全体のサイバーセキュリティの実践を改善する」ことに合意しました。具体的なイニシアチブと技術ガイダンス、テクノロジー間の連携の強化、グローバルな例からの学習」。

(InformationAge記事より引用)※機械翻訳

 

キタきつねの所感

オーストラリア政府は企業に対して、脅威が増すサイバー攻撃に対応する事を求める、「サイバーセキュリティ標準」を導入する予定の様です。

6/19にスコット・モリソン首相が中国とは直接言いませんでしたが国家の支援を受けた高度なサイバー攻撃によって政府や公的機関、企業が過去数か月に渡り攻撃を受けていると発表しました。

首相発表では、医療機関などの事業者サイバー攻撃に対する防御策を改善する様に要求していましたが、それを別分野にも拡大し、より具体的に表すのが、今回報じられているベースラインの「サイバーセキュリティ標準」になるのだと思います。

 

オーストラリアでは、以前もブログでご紹介した事がありますが、Essential8と呼ばれる全業界向けのサイバーセキュリティ推奨ガイダンスを出していますが、今回の「サイバーセキュリティ標準」はこの拡張版として企業に課される様になる様です。

foxsecurity.hatenablog.com

 

因みにEssential8がどんなものかと言うと以下の内容です。セキュリティに携わっていらっしゃる方であれば、ごく基本的な事を言っている事がよく分かるかと思います。

①アプリケーションのホワイトリスト
個々のワークステーションで実行できるソフトウェアとスクリプトを制限します
②アプリケーションにパッチを適用する
バイスにインストールされているアプリケーションとドライバーの両方について、最新のセキュリティアップデートを適用します。
Microsoft Officeマクロを制限する
信頼できる場所からのドキュメントにのみマクロの実行を許可し、ユーザーに書き込みアクセスを許可しない
Webブラウザーのロックダウン
インターネットからのFlashコンテンツ、Web広告、およびJavaコンテンツをブロックします
⑤特権アクセスに注意する
信頼できる方法でネットワークにアクセスする主要な担当者のみに特権アクセスを許可する
オペレーティングシステムにパッチを適用
システムを最新の状態に保ち、ベンダーがサポートしていない機器を廃止する
⑦多要素認証
リモートアクセスには多要素認証が必要です。
⑧バックアップ

重要なデータ、ソフトウェア、構成設定が定期的に作成され、テストされます

(Information Age記事より引用)※機械翻訳

 

防ぐのが難しい0ディ等を含むAPT攻撃を別にすれば、オーストラリア政府、企業の多くはこれらの推奨策が守れていれば、そう大きな被害を受けずに済んだのかと思います。

今回の取り組みで強化されるセキュリティ標準では、去年~今年にかかけて発生したAPT攻撃も含んだ形で対策も盛り込まれてくるのかと思いますが、誤解を恐れずに言えば、強制ではなかったので「対策を取ってなかった」あるいは「間違って実装していた」組織や企業が結構あったのかと推測します。

 

他の海外記事も見てみたのですが、タスクフォースメンバーの、NW州立法議会のVictor Dominello氏は、取材に対して以下の様に答えています。

「関連する標準を特定し、その他の実用的なガイダンスを提供するために業界をまとめることにより、サイバーレジリエンスを構築する方向性を業界に提供しながら、政府をより安全にすることを目指しています。」

(中略)

 

「新しく設立されたタスクフォースは、NSW企業がサイバー攻撃からの保護という複雑な課題に取り組むために何をする必要があるかを理解するのに役立ちます。」

(Itnews記事より引用)※機械翻訳

 

 

このコメントから考えると、Essential8を基本として策定される「サイバーセキュリティ標準」には、実装方法や注意点等が考慮されたより実用的な内容が含まれる事が予想されます。そう考えると、日本でも参考になる「サイバーセキュリティ標準」になるかも知れません。

 

国家の支援を受けたサイバー攻撃は何もオーストラリアだけではなく、今や、日本を含めて全世界での課題となりつつあります。日本でのこうした取り組みは・・・あったとしても大分先になる気がしてなりませんが、Essential8の考え方を取り入れるだけでも、防御力はかなり上がりますので、まずはこうした内容から自社に当てはめて考えてみる事も良い取り組みになると思います。

 

 

余談です。日本ではアベノアプリですら、タスクフォースがゴタゴタとしている印象なので、こうしたオーストラリアの先進的な取り組みが羨ましく感じました。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ダブルスタンダードのイラスト

 

更新履歴

  • 2020年6月26日 AM