中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

情報セキュリティに関する基礎知識

セキュリティ

1.1.     情報セキュリティ対策の基本

  • ソフトウェアの更新
  • ウイルス対策ソフトの導入
  • パスワード・認証の強化
  • 設定の見直し
  • 脅威・手口を知る
    • (リスクの大きさに応じた対策:リスク=情報の資産価値×脅威の大きさ×脆弱性
    • ⇒どれだけお金をかけてもリスクは0にならない。如何に効率的、効果的に対策を講ずるかを考える。脆弱性の最大の要因は人。ITスキルを高めるとともに、管理的対策としてルールを定め、技術的対策は、フールプルーフ(ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計)が重要

1.2.     【対策】情報セキュリティ 10 大脅威(個人)

  • インターネットバンキングやクレジットカード情報の不正利用
    • •OS・ソフトウェアの更新
    • ウイルス対策ソフトの導入
    • •事例や手口を知る
    • •二要素認証等の強い認証方式の利用
  • ランサムウェアを使った詐欺・恐喝
    • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
    • PC利用者
      • •定期的なバックアップ(PCだけではなく、共有サーバーも)
      • また、復元できるかの事前の確認
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
      • •メールの添付ファイル・リンクのURLを不用意に開かない
    • スマートフォン利用者
  • 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
  • 巧妙・悪質化するワンクリック請求
    • ウェブサービスの利用者
      • •怪しいソフトウェアは利用しない
      • •怪しいサイト・メールは開かない
      • •事例・手口の情報収集
    • ※購入の意思がないのであれば金銭を要求されても、慌てず請求に応じない
  • ウェブサービスへの不正ログイン
    • ウェブサービス利用者
      • •推測されにくく、長いパスワードを設定する
      • •パスワードを使い回さない
      • •二要素認証等の強い認証方式の利用
      • •ログイン履歴の確認
    • ウェブサービス提供ベンダー
      • •安全なウェブサービスの提供
      • •複雑なパスワード設定を要求(少ない文字数や記号無しの拒否等)
      • •二要素認証等の強い認証方式の提供
      • •セキュリティ対策の徹底
  • 匿名によるネット上の誹謗・中傷
  • ウェブサービスからの個人情報の搾取
  • 情報モラル不足に伴う犯罪の低年齢化
  • 職業倫理欠如による不適切な情報公開
  • インターネットの広告機能を悪用した攻撃

1.3.     【対策】情報セキュリティ 10 大脅威(組織)

  • 標的型攻撃による情報流出
    • ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
    • チェックリスト
      • □送信者の名前やアドレスが見慣れないものである。
      • □組織内の話題なのに、外部のメールアドレスから届いている。
      • □フリーのメールアドレスから届いている。
      • □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
      • □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
      • □送信者の署名が無いか曖昧である。
      • □送信者の名前や組織名として、架空のものを名乗っている。
      • □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
      • □上記以外で不審な箇所がある。
    • 経営者層
      • •問題に迅速に対応できる体制の構築
      • •対策予算の確保と継続的な対策実施
    • システム管理者
      • •情報の取扱い・保管状態の確認
      • •システム設計対策・アクセス制限
      • •ネットワーク監視・分離
    • セキュリティ担当部署
      • •セキュリティ教育の実施
      • •情報の保管方法ルール策定
      • サイバー攻撃に関する情報共有
    • 従業員・職員
      • •セキュリティ教育の受講
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
  • 内部不正による情報漏えいとそれに伴う業務停止
    • 組織
      • •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
      • •資産の把握・体制の整備
      • •情報の取扱教育の実施
      • •重要情報の管理・保護
      • •アカウント、権限の管理・定期監査
      • •システム操作の記録・監視
    • サービス利用者
      • •情報の管理が適切かを確認
  • ウェブサービスからの個人情報の搾取
  • サービス妨害攻撃によるサービスの停止
    • 個人・組織
      • •OS・ソフトウェアの更新
        • 踏み台にならないため、利用している機器も含めて管理
    • 組織
      • DDoS攻撃の影響を緩和するISP等によるサービスの利用
      • 通信制御(DDoS攻撃元をブロック等)
      • •システムの冗長化等の軽減策
      • •サイト停止時の代替サーバーの用意
  • ウェブサイトの改ざん
    • ウェブサイト運営者
      • •OS・サーバーソフトウェアの更新
      • •サーバーソフトウェアの設定の見直し
      • •ウェブアプリケーションの脆弱性対策
      • •アカウント・パスワードの適切な管理
      • •信頼できないサーバーソフトウェアを利用しない
      • •改ざん検知ソフトウェアの利用
    • ウェブサイト利用者
  • 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
    • システム管理者
      • •担当するシステムの把握・管理の徹底
      • •継続的な脆弱性対策情報の収集
      • 脆弱性発見時の対応手順の作成
      • •ソフトウェアの更新または緩和策
      • •ネットワークの適切なアクセス制限
    • ソフトウェア利用者
      • •利用しているソフトウェアの把握
      • •定期的な脆弱性情報の収集
      • •ソフトウェアの更新または緩和策
    • ソフトウェア開発ベンダー
      • •製品に組み込まれているソフトウェアの把握・管理の徹底
      • •継続的な脆弱性対策情報の収集
      • 脆弱性発見時の対応手順の作成
      • •情報を迅速に展開できる仕組みの整備
  • ランサムウェアを使った詐欺・恐喝
    • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
    • PC利用者
      • •定期的なバックアップ(PCだけではなく、共有サーバーも)
      • また、復元できるかの事前の確認
      • •OS・ソフトウェアの更新
      • ウイルス対策ソフトの導入・更新
      • •メールの添付ファイル・リンクのURLを不用意に開かない
    • スマートフォン利用者
  • インターネットバンキングやクレジットカード情報の不正利用
    • •OS・ソフトウェアの更新
    • ウイルス対策ソフトの導入
    • •事例や手口を知る
    • •二要素認証等の強い認証方式の利用
  • ウェブサービスへの不正ログイン
    • 攻撃者が不正に入手したIDやパスワードでログインを試みる
  • 過失による情報漏えい
    • ルールの明文化と遵守
    • フールプルーフ
      • ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
    •  

1.4.     【対策】注目すべき脅威や懸念

  • サポートの終了したソフトウェアを継続使用する危険性
    • 最新版への移行を
    • 移行できない場合はリスク緩和策
      • •ネットワークに繋がっていない環境で利用する、等
      • •ただし、脆弱性が解消される訳ではないため、早急な移行を
    • 組織においては計画的な移行を
      • •互換性の問題により移行できないケースを想定し、以下を考慮
        • 特定の製品やバージョンに依存しない
        • ソフトウェア製品のライフサイクル
  • 証明書の導入・設定不備や検証不備に起因する脅威と対策
    • 事業者が注意すべきこと
      • 認証局発行でない自己署名証明書ルート証明書にインストールするソフトウェアを開発・配布しない
      • 秘密鍵を他者に配布することで動作するソフトウェアを開発・配布しない
      • 証明書に関する問題が発見された場合、速やかに脆弱性情報を公開すると共に、更新プログラム等の解決策を提供
    • 利用者として注意すべきこと
      • 最新情報の収集に努め、更新プログラム等が提供された場合、早急に適用する
      • 不審なソフトウェアはインストールしない
  • マイナンバーの管理・運用の重要性
    • 個人として注意すべきこと
      • 趣旨と提示範囲の理解
        • マイナンバーは、法令に定められた社会保障・税・災害対策の行政手続のためのみに提示、等制度の趣旨と開示範囲が決まっている
      • 保存・送信する場合
        • •PC等に電子化して保存する場合は、情報自体を暗号化し、端末操作にパスワード入力や指紋認証等の本人確認を必須となるように設定
        • •メール等のネットワーク経由で送信する場合、暗号化や改ざん防止を
    • 事業者が注意すべきこと
      • 特定個人情報の取扱いに関するガイドラインを遵守
        • •法令に定められた利用制限、厳重な管理、提供・収集の制限を実施
      • 継続的なセキュリティ対策の見直し・実施
      • 業種別の個別のガイドラインへの遵守も

1.5       サービス提供と情報セキュリティ対策

 

  • 提供するサービスの迅速化と一層の充実等
      • (政府情報システムの整備及び管理に関する標準ガイドライン実務手引書より)
    • インターネットの普及に伴い行政サービスの24時間365日提供に対する要請が高まる中、即時性が要求される申請等や提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、手続の統合による共通の情報システムの活用等を検討する。
  • 情報セキュリティ対策は
    • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる