「5.7 脅威インテリジェンス」について、少人数の会社での具体的な対応策がわかりかねている状態です。
ISO/IEC 27001:2022 新規追加事項『5.7 脅威インテリジェンス』について質問させてください。
- ① 情報セキュリティの脅威についての情報収集をする
- ② 集めた情報を整理・分析する
- ③ 利用することができるようにする
という要求内容かと思いますが、詳しいスタッフや専門のチームがいなくとも自社内で対策可能でしょうか。
対策ができる外部の専用サービスや、オプションで脅威インテリジェンス対策ができるウイルス対策ソフト等を導入する必要がありますでしょうか。
少人数の会社のため専門チームの設置は難しく、特に②・③について自社内での具体的な対応策がわかりかねている状態です。
ご質問の①から③に関して、ご指摘のとおりの考えでお間違えないかと思います。
ご購入頂いた商品に収録している「付録_新旧JIS規格対比表_Q27001_2023.pdf」の「5.7_脅威インテリジェンス」の「追加および変更された内容」も、あわせてご参考ください。
「脅威インテリジェンス」とは、攻撃者の動機、標的、攻撃方法を理解するために組織で収集・分析されたデータのことです。
これを活用することで、従来のセキュリティ対策では見過ごされていた高度なサイバー攻撃の検知、特定の業界・業種を標的とした巧妙なサイバー攻撃の防御が可能となります。
要は、脅威となりそうな情報を収集し、事前に対策を講じましょうということになります。
情報としては、以下のようなものがあります。
- 戦略的情報(サイバーセキュリティ戦略の立案に活用される脅威情報)
例えば、IPAが公表している「情報セキュリティ10大脅威」などがありますね。
これらの情報をもとに、定期的に委員会などで協議し、経営層に対して報告し、組織としての方向性を決定する。 - 運用管理情報(リスク評価やインシデント対応時に活用される脅威情報)
例えば、同一業種・公共機関・その他社会的影響の大きい企業から脅威情報など。
ネットニュースやメールマガジンなどでも構わないと思います。
これらの情報をもとに、リスクアセスメントを実施し、対策を決定する。 - 技術情報(セキュリティ機器に反映し、攻撃の検知やグロックに利用される脅威情報)
例えば、セキュリティ対策ソフトのアップデートやその他アプリケーションのアップデートなど。
これらは、機器に自動的に取り組み適用されることになるかと思います。
よって、詳しいスタッフや専門のチームが無くても対応することは可能かと思います。
以上、ご参考ください。
