中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

情報セキュリティ緊急対応ガイド【汎用】

■緊急対応(自然災害, 大火災, 感染症, テロ, , ,)

事象の検知、報告受付(Detect)

事実確認、対応の判断 被害の局所化(拡大防止)(Triage)

    • 該当システムをただちにネットワークから切り離し、使用を中止する。
    • 被害の範囲を確認し、使用を停止する

緊急連絡

    • システム管理者、関係部署、関係機関に連絡。指示に従う。
    • 犯罪の可能性⇒警視庁
    • ウイルス、不正アクセス被害届出⇒IPAセキュリティセンター

原状保全

    • 原因調査のためにサーバ、PC内のファイルをバックアップし保存する

原因調査

    • なぜ情報セキュリティ侵害が起きたか?
    • サーバ、PC内のファイルに改ざんされたものがないか、本来存在しないファイルがないかを確認する
    • サーバのログ等を確認して、通常でないファイル転送、アクセス等を確認する。

早期復旧・事業継続 (Respond)

    • 確認できた事象に対する再発防止のための改善策を、システム管理者の指示に従って、適切な復旧を行う。

恒久的対策(再発防止策)

    • インシデントからの知見の学習
    • ルールの再確認
      • 事業継続計画、情報セキュリティポリシー
      • 緊急時対応、人的、管理的、物理的、技術的対策の内容の確認と是正
        • 情報セキュリティ侵害の原因の多くが、人為的なミスもしくは悪意によるもの。
        • 最低限守るべきルールを明確にして、それを守らせることが重要。

通常運用

    • 平時からの実施状況の確認(監査)

■情報セキュリティ対策の必要性

  • ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。
  • どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要
  • 情報セキュリティ対策は、事業継続計画の一つ
  • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる
  • ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない

■情報セキュリティ対策の基本

情報セキュリティ侵害とは

    • 機密性、完全性、可用性が損なわれること
    • 全ての人は当事者
      • 誰しも被害者になる。また、知らぬうちに加害者にもなる

脅威・手口を知る(10大脅威2016簡易説明資料(組織編)

    • 人的脅威
      • 不注意
        • メール添付ファイルを開ける、偽サイトへのアクセス
        • PC、USBの紛失
      • 内部者によるセキュリティ侵害
    • 正規のウェブサイトを改ざん
    • ウェブサイトにアクセスするだけでマルウェア感染
    • 標的型メールでの不正サイトへの誘導
    • 不審なメールのマルウェア添付

情報資産の認識

    • 取り扱われる情報資源の格付け(機密性、完全性、可用性が損なわれた場合の経済的、社会的損害の大きさ)のレベル等に応じた重要度を認識する

リスク分析

    • リスク=情報資産に対する脅威(侵害する行為の発生頻度)×情報資産の重要度(機密性レベル+完全性レベル+可用性レベル)×脆弱性(実際に侵害が起きる可能性)

対策はリスクの高いものを優先する

    • どれだけコストをかけてもリスクをゼロにすることは困難であり、脅威の大きさ、情報資産の重要性、脆弱性の大きさを勘案し、不必要に過度な対策とならないように検討する
    • 重要度の高いファイルのバックアップ
    • ソフトウェアの更新
    • マルウェア(ウイルス等)対策ソフトの導入
    • パスワード・認証の強化
    • 設定の見直し(ルータ、PC等)

恒久的対策

    • 定期的なバックアップ  
      • ランサムウェア等を含めた対策
      • バックアップ媒体は、取得後、ネットワークから切り離す
    • ルールの策定
    • フールプルーフ対策
      • 人間が間違えても危険にならない仕組みにしておく
    • フェールセーフ対策
      • 機械が壊れても危険にならない仕組みにしておく
    • ルールの遵守
      • 情報セキュリティポリシーの遵守
      • 実施手順の遵守(情報セキュリティ対策9カ条
        • OSやソフトウェアは常に最新の状態に
        • パスワードは貴重品のように管理
        • ログインID・パスワードは絶対に教えない
        • 身に覚えのないファイルは開かない
        • ウイルス対策ソフトを導入
        • ネットショッピングは信頼できるお店で
        • 大切な情報は失う前に複製
        • 外出先では紛失・盗難に注意
        • 困ったときは一人で悩まず相談を

定期的な監査

 ■参考資料