あなたはセキュリティ業務に関連する情報(webサイトや資料)を整理できていますか?
情報の移り変わりはとても早く、ご存知の通り情報セキュリティの世界も新しい情報を常にインプットしていかなければなりません。ただでさえ忙しい中、新しい情報をキャッチアップし続けるための手間も最小限に抑えたい、そんな想いを持つ方も多いのではないでしょうか。
そこで、今回は「情報セキュリティ担当者がどのサイト・資料に目を通しておけばいいか」を、下記のような視点から80個厳選してまとめました。
・セキュリティ対策、インシデント情報、脆弱性情報に関する情報を素早くキャッチしたい
・企画資料のために使えそうな統計データや情報が欲しい
・新人研修のための資料を探している
RSS、Social Media、キュレーションサイト等情報の入手方法はいろいろありますが、このような形でまとまっていると便利かと思います。必要とする広さ・深さによっては、より詳細な情報が必要になることもあるかもしれませんが、10個のカテゴリ(用途)に分類してまとめてみましたので参考にしていただければ幸いです。
目次
1. 統計情報
セキュリティの脅威、現状を把握するために統計データを見ることは有用です。組織内で企画を担当する方、経営層へ説明が必要な方、最新動向を知って対策に活かす必要のある方などはチェックしておきたい情報になります。月・四半期・年単位など更新頻度はまちまちですので更新のタイミングを確認しておきましょう。
| 資料・サイト | 概要 |
| 情報セキュリティ白書2018 | IPA(情報処理推進機構)が毎年発行しています。情報セキュリティの概要から事例・対策など網羅的に把握できます。 |
| 情報セキュリティインシデントに関する調査報告書 | JNSA(日本ネットワークセキュリティ協会)による情報漏えいインシデントを集計・要因分析などを行った年次レポートです。 |
| 総務省情報通信白書 | ICT全般の白書になりますが、サイバーセキュリティ領域のトピックスも掲載されます。 |
| 警察庁サイバー犯罪対策プロジェクト | サイバー犯罪にかかわる統計データが掲載されています。 |
| マカフィー脅威レポート | 四半期ごとに更新されるレポートです。グローバルの統計データも掲載されています。 |
2. 無料で学ぶセキュリティ
セキュリティの関連団体などからWEB上で入手できる資料が発行されています。
| 資料等 | 概要 |
| 情報セキュリティ読本 教育用プレゼン資料 | IPAが作成している組織内での研修でも活用できるように作成された教育用スライドです。 |
| 普及啓発資料 | IPAが作成している啓発資料で、セキュリティの全般的な資料から組織向け、開発者向け(システム、IOT、WEBサイト)など多岐に渡ってカバーしています。 |
| 新入社員等研修向け情報セキュリティマニュアル(PDF) | JPCERTが作成している新入社員向けの資料で、教育担当者の方などが活用できる内容です。 |
| セキュリティ対応組織の教科書 | JNSAがSOC/CSIRTなどにおいて、どのような機能や役割、人材が必要となるかについてまとめた資料です。 |
| 情報セキュリティハンドブック Kindle版 | 内閣サイバーセキュリティセンター(NISC)が発行しているハンドブックです。一般の人にも分かりやすくセキュリティの解説がされています。(2018年6月時点、Kindle版は0円となっています) |
| 国民のための情報セキュリティサイト | 総務省が国民向けに、安全にインターネットを使うための情報をまとめているサイトです。 |
3. 関連法律
サイバーセキュリティの重要性・サイバー空間の脅威の高まりと共に国内の法整備も進んできています。サイバーセキュリティに関わる国内の主な法律です。例えば、不正ログインやハッキング行為、許諾無しにメールを送り付けるスパム・迷惑メール行為、通信の盗み見などは法律により規制を受けています。
| 法律 | 概要 |
| サイバーセキュリティ基本法 | サイバーセキュリティに関する日本の基本理念や国・地方公共団体の責務を定めた法律です。 |
| 不正アクセス行為の禁止等に関する法律 | 他人のID・PWを利用して不正に情報機器やサービスを利用する行為などを禁止した法律です。 |
| 特定電子メールの送信の適正化等に関する法律 | Eメールによる広告宣伝活動に関する規定が定められていて、オプトイン方式などの記述があります。 |
| 電気通信事業法 | いわゆる通信の秘密などに関する記載があります。 |
| 刑法 | ワンクリック詐欺(第246条 詐欺)やサーバに保管されていたデータの消去(第234条の2 電子計算機損壊等業務妨害)などは刑法に抵触する可能性があります。 |
| 電子署名及び認証業務に関する法律 | 電子署名やその認証業務に関する制度を規定しています。 |
4. ガイドライン
サイバーセキュリティに関する主なガイドラインです。より具体的な対策や実務を考慮した枠組みなどが記載されています。
| ガイドライン | 概要 |
| サイバーセキュリティ経営ガイドライン | サイバーセキュリティ対策を経営課題と位置づけ、経営者が認識すべき3原則、CISO等に指示すべき重要10項目をまとめています。 |
| 中小企業の情報セキュリティ対策ガイドライン | 中小企業向けの具体的な情報セキュリティ対策がまとめられています。 |
| IoTセキュリティガイドライン(PDF) | 従来と異なる対応が求められるIotセキュリティの特性を鑑み、ユーザー側・提供側含めた必要な取り組みなどが記載されています。 |
5. 人材育成・組織運営
セキュリティの人材不足が懸念される中、人材育成に活用できる情報です。
| 資料・サイト | 概要 |
| セキュリティ知識分野人材スキルマップ2017年 | JNSA教育部会が情報セキュリティに関する業務に携わる人材が身につけ るべき知識とスキルを体系的に整理した資料です。 |
| セキュリティ対応組織の教科書 v2.1 (2018年3月)(PDF) | JNSA、ISOG-J(日本セキュリティオペレーション事業者協議会)がセキュリティ対応を専門に実施しているセキュリティオペレーション事業者の知見をまとめた資料です。 |
| CISO等セキュリティ推進者の経営・事業に関する役割調査 | IPAがセキュリティへの取組みが経営と事業に貢献するようマネジメントする役割について、実態や期待されている内容を調査した資料です。 |
| CSIRT人材の定義と確保 | 日本コンピュータセキュリティインシデント対応チーム協議会がCSIRTに求められる役割と実現に必要な人材のスキル、育成についてまとめた資料です。 |
6. 調査機関
セキュリティ市場の調査やセキュリティ領域、製品に関する調査や分析をしている機関です。ガートナーのマジック・クアドラントはセキュリティ領域のみならず様々領域での評価を行っており、多くの企業がベンチマークとして活用しています。
| 海外 | 概要 |
| Gartner | 同社の調査・分析に基づきベンダー各社をリーダー、チャレンジャー、特定市場指向型、概念先行型に分類したGartner Magic Quadrantを出しています。 |
| Forrester Research | 技術や市場の調査を行っているアナリストファームです。 |
| 451 Research | 情報技術の調査・研究・助言などを行っているアナリストファームです。 |
| IDC | IT関連分野の市場調査などを行っている調査会社です。 |
| AV-TEST | セキュリティソフトの比較検証を行う独立機関の最大手です。 |
| AV-Comparatives | セキュリティ製品の第三者評価を行っている試験機関です。 |
| 国内 | 概要 |
| IDC Japan | IT関連分野の市場調査などを行っている調査会社です。 |
| フロスト&サリバン | リサーチ・コンサルティング会社でテクノロジーに関する調査なども行っています。 |
| 富士キメラ総研 | フィールドリサーチを中心とした市場調査を手掛ける企業です。 |
| ITR | IT関連分野の市場調査・コンサルティングを手掛ける企業です。 |
| ミック経済研究所 | IT/ネット分野に専門特化した市場調査を行う会社です。 |
7. 情報サイト
情報サイトは数多く存在しますので、毎日すべてに目を通すのも現実的ではないかもしれません。日本のニュースサイトは割愛しますが、セキュリティベンダーのブログと海外のセキュリティ関連の情報サイトを掲載します。
| セキュリティベンダーブログ | 海外情報セキュリティ関連情報サイト | |
| トレンドマイクロ | Dark Reading | |
| シマンテック | Info Security | |
| カスペルスキー | E Hacking News | |
| サイバーリーズン | Help Net Security | |
| マカフィーブログ | HACKMAGEDDON | |
| Securing Tomorrow Today(McAfee) | The State of Security |
8. セキュリティ関連の組織・団体
セキュリティ関連団体は複数あり、特化した領域で活動している団体もあります。ここではサイバーセキュリティに関連する団体を記載しますので、ご担当の業務領域や調べたい領域に応じて関係する団体のサイトを見たり、コンタクトを取ると良いでしょう。
<セキュリティに関わる人はチェックしておきたい関連団体>
| 団体名 | 概要 |
| 情報セキュリティ政策室 | 経済産業省 商務情報政策局に組織されていて、「コンピュータセキュリティ早期警戒体制の整備事業」、「企業・個人の情報セキュリティ対策促進事業」を通じたセキュリティ推進を行っています。 |
| 高度情報通信ネットワーク社会推進戦略本部 | 内閣に設置されている組織で、高度情報通信ネットワーク社会の形成に関する施策を推進しています。 |
| 内閣サイバーセキュリティセンター(NISC) | 内閣官房に設置された組織でサイバーセキュリティ戦略に基づく政策に関する調整統合などを行っています。 |
| 情報処理推進機構(IPA) | 経済産業省所管の独立行政法人で情報セキュリティ対策、IT社会の動向調査・分析・基盤構築、IT人材育成などを行っています。 |
| 日本ネットワークセキュリティ協会(JNSA) | 情報セキュリティレベルの維持・向上、情報セキュリティ意識の啓発などを行っている特定非営利活動法人 (NPO)です。 |
| JPCERTコーディネーションセンター(JPCERT/CC) | インシデント対応の支援やセキュリティ対策の情報発信などを行っている一般社団法人です。 |
| 日本スマートフォンセキュリティ協会(JSSEC) | スマートフォンやタブレット、Iot端末などの安全な利活用に向けたセキュリティ対策に関する活動を行っている一般社団法人です。 |
<業務領域で関連があればチェックしておきたい関連団体>
| 団体名 | 概要 |
| 日本シーサート協議会 | 日本CSIRT 間の情報共有や連携を支援する組織です。 |
| フィッシング対策協議会 | フィッシング詐欺に関する事例情報、技術情報の収集及び提供を行い、詐欺被害の抑制のための活動を行っている組織です。 |
| CRYPTREC | Cryptography Research and Evaluation Committeesの略で、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する組織です。 |
| セーファーインターネット協会 | インターネットの悪用を抑え自由なインターネット環境を護るための活動をしている団体です。 |
| 重要生活機器連携セキュリティ協議会 | 日常生活で利用する機器(生活機器)全体のセーフティ&セキュリティレベルの向上のための活動を行う団体です。 |
| クラウドセキュリティアライアンス(CSAジャパン) | クラウドコンピューティングのセキュリティを実現するために、ベストプラクティスを広めたり啓発を行っている団体です。 |
| クラウドセキュリティアライアンス(CSA) | |
| 金融情報システムセンター(FISC) | 金融情報システムの脅威や管理体制などについて国内外における現状、課題、対策等についての調査研究を行っている団体です。 |
9. 脆弱性情報
脆弱性に関する情報を掲載しているサイトです。
| 分類 | サイト |
| 共通脆弱性識別子(CVE) | CVE識別番号管理サイト(英語) |
| 脆弱性情報 | 脆弱性対策情報データベース |
| JPCERT/CC 脆弱性対策情報 | |
| IPA 脆弱性対策 | |
| Alerts|US-CERT | |
| Current Activity|US-CERT | |
| ソフトウェア関連 | Microsoft Technet |
| Apple セキュリティアップデート | |
| Adobe セキュリティ速報およびセキュリティ情報 |
10. セミナー、イベント
有料・無料、国内外様々ですが、セキュリティに関連するセミナーやイベントです。
| サイト | 概要 |
| IPAイベントセミナー | IPAが主催・後援するセミナーです。 |
| ビジネス+IT | 様々な組織のイベント・セミナーが登録されています。 |
| @ITイベント&セミナー | @ITが主催・協力するセミナーが掲載されています。 |
| ハードニング | セキュリティの実践演習ができるイベントです |
| RSA Conference | 毎年開催される世界的な情報セキュリティカンファレンスです。 |
| BlackHat | アメリカ最大級のセキュリティカンファレンスです。 |
| Mobile World Congress | 世界最大級のモバイル関連イベントです。 |
| SANS | サイバーセキュリティトレーニングなどを手掛ける民間団体です。 |
| MPOWER | マカフィー主催のセキュリティカンファレンスです。 |
いかがでしょうか。誰かがまとめた記事を見るのも便利ではありますが、そこには編集者の視点が入るため、かけてほしくなかったフィルターがかかっていることもあります。広い視野を持って業務にあたるためにも、ある程度広く網を張って知見を蓄えていくことも必要かもしれません。