2021年06月07日

情報セキュリティには知っておくべき5つの基本対策がある!

ishihama
石濱 雄基 記事一覧
Posted in 事例, 従業員教育, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

インターネット利活用の促進や、スマートフォンの利用、アプリケーションの充実化などに伴い、私たちには常に様々な情報セキュリティリスクが付きまとっています。
日常生活でも「フィッシング」や「なりすまし」「ウイルス感染」など、インシデントについての様々な言葉を聞くのではないでしょうか。

世の中の進歩とともに、様々な攻撃手法が挙げられるため情報セキュリティリスクは複雑化しているようにも見えますが、実は多くの対策の土台となる「5つの基本対策」が存在しており、5つを認識したうえで対策を行うことで多くの情報セキュリティリスクを軽減することができるとも言われています。

今回はIPAが提唱している5つの情報セキュリティの基本対策について、簡単にご紹介します。

1.ソフトウェアの脆弱性

普段利用するソフトウェアやアプリケーションは必ずしも完璧なものではなく、脆弱性(セキュリティ上の弱点)が存在していることがあります。
また、これらは一度直せばOKではなく、常に発見され続ける可能性をはらんだものでもあります。

この脆弱性は、攻撃者がシステム内への侵入やウイルス感染を引き起こすための入口として悪用することがあります。

基本の対策

【ソフトウェアアップデート】

多くのアップデートは、発見された脆弱性を修正するために行われます。つまり、アップデートを行うことで、このリスクはある程度軽減することが可能です。

また組織としてセキュリティ担当者などが、IPAのサイトなどからソフトウェアの脆弱性についての情報を定期的に収集し、緊急度の高いものについては従業者に更新するよう通達するなどの仕組み作りも有効です。

2.ウイルス感染

もっとも一般的にイメージされる情報セキュリティリスクではないでしょうか。

メールの添付ファイルやURL、外部記憶媒体、ウェブサイトの閲覧など様々な手法はあれど、多くのケースの根本の脅威としてウイルス感染は利用されています。
そして、ウイルス感染してしまうと、情報の窃取や、不正アクセス・不正操作、また、さらなる攻撃の踏み台に利用されるなんてことも考えられます。

基本の対策

【ウイルス対策ソフトの利用】

やはり基本の対策はウイルス対策ソフトを利用することです。

既に知られているウイルスに対しての防御力はもちろんのこと、最近では不審な動きをするプログラム(未知のウイルスの可能性があるもの)などを検知する機能なども装備されており、ウイルス感染対策としては基本中の基本になります。

【ソフトウェアアップデート】

ウイルスは毎日のように新たなものが生み出されており、ウイルス対策ソフトだけではすべてに対応しきれないことも事実です。

その場合、少しでもウイルスが付けこむスキを与えないために、ソフトウェアアップデートなどを行って脆弱性を減らしておくことも有効です。

【そもそも怪しいものは無視する】

ウイルス感染の入口として多いのが、不審なメールの添付ファイルやリンクを開いてしまう、怪しいWebサイトにアクセスしてしまうといったことです。

なので、「少しでも怪しいと感じたらそもそもアクセスしない!」これだけでも十分なウイルス対策になり得ます。

3.パスワード窃取

最近ではPCやスマートフォンをはじめとした媒体、クラウドサービスのログインなど様々な認証情報の取扱いが発生しています。

もしパスワードの窃取が発生すると、不正ログインを許してしまうことになりますし、結果としてなりすましや情報漏えい被害なども誘発してしまう可能性もあります。
また、被害者が様々なサービスで同じパスワードを使いまわしていた場合、窃取したパスワードを基に、他のサービスにまで不正アクセスなどの脅威が広がることになりかねません。

基本の対策

【適切なパスワードを生成する】

現在では適切なパスワードは「長く複雑なもの」とされており、明確な共通ルールなどが存在しているわけではありませんが、参考にご紹介すると10桁~12桁以上にしておくと一定の安全性を望むことができます。

また、自分に関する情報や辞典に載っているような単語などの分かりやすいものをパスワードに利用することは絶対にやめましょう

生成するパスワードについて、サービスごとに変更する(同じパスワードは使いまわさない)ことも必須対応のひとつと言えます。

【適切なパスワード管理を行う】

いくら強固なパスワードを生成したとしても、目に見える場所にメモした付箋を貼っていたりしては何の意味もありません。

パスワードとサービス名、IDは別々の場所に保管するなどセキュリティを保った管理も重要になります。
若干のコストはかかりますが、管理する必要のあるパスワード数が多い場合には、パスワード管理ツールの利用などもおすすめです。

【強固な認証の利用】

端末やサービスによっては「パスワード×生体認証」「パスワード×ICカード」「パスワード×電子証明書」など、いわゆる多要素認証が利用できるケースもあります。
多要素認証を利用していれば、仮にパスワードが漏えいした場合にも、不正アクセスリスクを軽減することができるので、適用することをおすすめします。

余談ですが、パスワードの生成・管理については別途「結局安全なパスワードってどういうものなの?」でご紹介していますので、良ければご覧ください。

4.設定不備

SalesforceやTrelloといったSaaSを利用している企業での設定ミスがもととなったインシデントのニュースを最近よく目にするのではないでしょうか。これらは設定ミスによる情報セキュリティリスクとして一番イメージしやすいかと思います。
ただここでの設定不備は上記のようなSaaSに限らず、会社のネットワーク機器やファイルサーバのアクセス権限設定なども含まれており、「設定」という行為が発生するあらゆるものに対して発生しうるリスクと考えてください。

設定不備は内容によって様々なリスクをはらんでいます。
例えば公開範囲の設定を間違っていれば、Trelloの事例のように誤って全世界に情報を公開してしまうかもしれません。
また、アクセス権限の設定を間違っていれば、クラウドストレージ上から情報が漏えいしたり、会社のネットワークに不正アクセスされてしまうかもしれません。

その他にも、SaaSやネットワーク機器でセキュリティ対策のための設定があるのに、動作するようにしていなかった、反対に組織にとっては不要な機能なのに設定してしまっていたというのも設定不備として考えられます。

基本の対策

【利用開始時の設定確認】

SaaSやネットワーク機器などの種類に限らず、利用する前にはまず設定を確認して、設定しておく必要のある機能なのか必要がないのであれば無効にするよりセキュアな設定ができるのであれば適用するなどの対応を行うようにしましょう。

はじめの確認を行っていなければ、知らず知らずのうちに設定不備によるインシデントが発生しているということがあり得ます。

【アクセス制御や権限の設定を行う】

重要な情報を取り扱うSaaSやファイルサーバなどの場合は、アクセス制御の設定が非常に重要になります。その人が情報やサービスにアクセスできる必要があるのか精査した上で権限の付与を行いましょう。

また、権限を複数段階に分けられる場合は、アクセスできる人の中でも、どの程度の権限が必要なのか判断をした上でより細かく設定を行うことが望まれます。

【設定の見直しを行う】

設定は一度行えば終わりというものではありません。
組織は人の出入りや移動が激しい場所でもあります。

従業者の異動・退職時や、権限が必要なくなったタイミングなど、必要に応じて設定の見直しを継続的に実施していくことも漏れによる設定不備を防ぐうえで重要です。

5.誘導(罠にはめる)

ここまで様々なリスクを紹介してきましたが、攻撃者はこれらの手法を利用する上で、対象者を悪意を持って誘導して攻撃を行うことが多いです。
例えば、メールから怪しいWebサイトに誘導させたり、無料をうたいながら登録してみたら利用料を請求してくるようなWebサービスなどを目にしたこともあるのではないでしょうか。

サービスも機械も情報も最終的に利用するのは人間であり、その人間のスキをつくような誘導手法は多くとられています。

基本の対策

【情報収集を行う】

誘導というリスクに対する最善の対策は、自らが引っかからないようなリテラシーを持つことです。
そのためには、どのような攻撃手法が流行っているのか、自分であればどのようなリスクが考えられるのかということを知ることが何よりも大切になります。

ただ、すべてをいきなり知ろうとするのはもちろん現実的ではありません
まずは、毎日セキュリティ関連のニュース記事を一つ読む、IPAが毎年発表する情報セキュリティ10大脅威だけでも知っておくなど目的をもって情報に接してみてはいかがでしょうか。

【万が一の対応手順を把握しておく】

いくら自身のリテラシーが高くなってももちろん誘導に引っかかってしまう可能性があります。

ただ、誘導に引っかかること自体は責められるべきことではなく、その後適切な対応を取れるかどうかがより重要です。

具体的な対応手順は誘導の手法や被害によって異なるため今回は言及しませんが、最低でも、もし誘導に引っかかった場合まず誰にどうやって報告する必要があるのか、その他に警察や消費者庁などの相談窓口にはどのように連絡することができるのかといった部分だけでも明確にしておくことをおすすめします。

まとめ

「情報セキュリティリスク」と聞くと非常に広範なように見えますが、基本の土台はある程度重なる部分もあります。

最初からすべてを知って対応しようとするのではなく、まず基礎を理解し的確に押さえていくことから始めてみてはいかがでしょうか。

参考資料

このエントリーをはてなブックマークに追加 LINEで送る

2021年6月7日

情報セキュリティには知っておくべき5つの基本対策がある!

Posted in 事例, 従業員教育, 情報セキュリティ

インターネット利活用の促進や、スマートフォンの利用、アプリケーションの充実化などに伴い、私たちには常に様々な情報セキュリティリスクが付きまとっています。
日常生活でも「フィッシング」や「なりすまし」「ウイルス感染」など、インシデントについての様々な言葉を聞くのではないでしょうか。

世の中の進歩とともに、様々な攻撃手法が挙げられるため情報セキュリティリスクは複雑化しているようにも見えますが、実は多くの対策の土台となる「5つの基本対策」が存在しており、5つを認識したうえで対策を行うことで多くの情報セキュリティリスクを軽減することができるとも言われています。

今回はIPAが提唱している5つの情報セキュリティの基本対策について、簡単にご紹介します。

1.ソフトウェアの脆弱性

普段利用するソフトウェアやアプリケーションは必ずしも完璧なものではなく、脆弱性(セキュリティ上の弱点)が存在していることがあります。
また、これらは一度直せばOKではなく、常に発見され続ける可能性をはらんだものでもあります。

この脆弱性は、攻撃者がシステム内への侵入やウイルス感染を引き起こすための入口として悪用することがあります。

基本の対策

【ソフトウェアアップデート】

多くのアップデートは、発見された脆弱性を修正するために行われます。つまり、アップデートを行うことで、このリスクはある程度軽減することが可能です。

また組織としてセキュリティ担当者などが、IPAのサイトなどからソフトウェアの脆弱性についての情報を定期的に収集し、緊急度の高いものについては従業者に更新するよう通達するなどの仕組み作りも有効です。

2.ウイルス感染

もっとも一般的にイメージされる情報セキュリティリスクではないでしょうか。

メールの添付ファイルやURL、外部記憶媒体、ウェブサイトの閲覧など様々な手法はあれど、多くのケースの根本の脅威としてウイルス感染は利用されています。
そして、ウイルス感染してしまうと、情報の窃取や、不正アクセス・不正操作、また、さらなる攻撃の踏み台に利用されるなんてことも考えられます。

基本の対策

【ウイルス対策ソフトの利用】

やはり基本の対策はウイルス対策ソフトを利用することです。

既に知られているウイルスに対しての防御力はもちろんのこと、最近では不審な動きをするプログラム(未知のウイルスの可能性があるもの)などを検知する機能なども装備されており、ウイルス感染対策としては基本中の基本になります。

【ソフトウェアアップデート】

ウイルスは毎日のように新たなものが生み出されており、ウイルス対策ソフトだけではすべてに対応しきれないことも事実です。

その場合、少しでもウイルスが付けこむスキを与えないために、ソフトウェアアップデートなどを行って脆弱性を減らしておくことも有効です。

【そもそも怪しいものは無視する】

ウイルス感染の入口として多いのが、不審なメールの添付ファイルやリンクを開いてしまう、怪しいWebサイトにアクセスしてしまうといったことです。

なので、「少しでも怪しいと感じたらそもそもアクセスしない!」これだけでも十分なウイルス対策になり得ます。

3.パスワード窃取

最近ではPCやスマートフォンをはじめとした媒体、クラウドサービスのログインなど様々な認証情報の取扱いが発生しています。

もしパスワードの窃取が発生すると、不正ログインを許してしまうことになりますし、結果としてなりすましや情報漏えい被害なども誘発してしまう可能性もあります。
また、被害者が様々なサービスで同じパスワードを使いまわしていた場合、窃取したパスワードを基に、他のサービスにまで不正アクセスなどの脅威が広がることになりかねません。

基本の対策

【適切なパスワードを生成する】

現在では適切なパスワードは「長く複雑なもの」とされており、明確な共通ルールなどが存在しているわけではありませんが、参考にご紹介すると10桁~12桁以上にしておくと一定の安全性を望むことができます。

また、自分に関する情報や辞典に載っているような単語などの分かりやすいものをパスワードに利用することは絶対にやめましょう

生成するパスワードについて、サービスごとに変更する(同じパスワードは使いまわさない)ことも必須対応のひとつと言えます。

【適切なパスワード管理を行う】

いくら強固なパスワードを生成したとしても、目に見える場所にメモした付箋を貼っていたりしては何の意味もありません。

パスワードとサービス名、IDは別々の場所に保管するなどセキュリティを保った管理も重要になります。
若干のコストはかかりますが、管理する必要のあるパスワード数が多い場合には、パスワード管理ツールの利用などもおすすめです。

【強固な認証の利用】

端末やサービスによっては「パスワード×生体認証」「パスワード×ICカード」「パスワード×電子証明書」など、いわゆる多要素認証が利用できるケースもあります。
多要素認証を利用していれば、仮にパスワードが漏えいした場合にも、不正アクセスリスクを軽減することができるので、適用することをおすすめします。

余談ですが、パスワードの生成・管理については別途「結局安全なパスワードってどういうものなの?」でご紹介していますので、良ければご覧ください。

4.設定不備

SalesforceやTrelloといったSaaSを利用している企業での設定ミスがもととなったインシデントのニュースを最近よく目にするのではないでしょうか。これらは設定ミスによる情報セキュリティリスクとして一番イメージしやすいかと思います。
ただここでの設定不備は上記のようなSaaSに限らず、会社のネットワーク機器やファイルサーバのアクセス権限設定なども含まれており、「設定」という行為が発生するあらゆるものに対して発生しうるリスクと考えてください。

設定不備は内容によって様々なリスクをはらんでいます。
例えば公開範囲の設定を間違っていれば、Trelloの事例のように誤って全世界に情報を公開してしまうかもしれません。
また、アクセス権限の設定を間違っていれば、クラウドストレージ上から情報が漏えいしたり、会社のネットワークに不正アクセスされてしまうかもしれません。

その他にも、SaaSやネットワーク機器でセキュリティ対策のための設定があるのに、動作するようにしていなかった、反対に組織にとっては不要な機能なのに設定してしまっていたというのも設定不備として考えられます。

基本の対策

【利用開始時の設定確認】

SaaSやネットワーク機器などの種類に限らず、利用する前にはまず設定を確認して、設定しておく必要のある機能なのか必要がないのであれば無効にするよりセキュアな設定ができるのであれば適用するなどの対応を行うようにしましょう。

はじめの確認を行っていなければ、知らず知らずのうちに設定不備によるインシデントが発生しているということがあり得ます。

【アクセス制御や権限の設定を行う】

重要な情報を取り扱うSaaSやファイルサーバなどの場合は、アクセス制御の設定が非常に重要になります。その人が情報やサービスにアクセスできる必要があるのか精査した上で権限の付与を行いましょう。

また、権限を複数段階に分けられる場合は、アクセスできる人の中でも、どの程度の権限が必要なのか判断をした上でより細かく設定を行うことが望まれます。

【設定の見直しを行う】

設定は一度行えば終わりというものではありません。
組織は人の出入りや移動が激しい場所でもあります。

従業者の異動・退職時や、権限が必要なくなったタイミングなど、必要に応じて設定の見直しを継続的に実施していくことも漏れによる設定不備を防ぐうえで重要です。

5.誘導(罠にはめる)

ここまで様々なリスクを紹介してきましたが、攻撃者はこれらの手法を利用する上で、対象者を悪意を持って誘導して攻撃を行うことが多いです。
例えば、メールから怪しいWebサイトに誘導させたり、無料をうたいながら登録してみたら利用料を請求してくるようなWebサービスなどを目にしたこともあるのではないでしょうか。

サービスも機械も情報も最終的に利用するのは人間であり、その人間のスキをつくような誘導手法は多くとられています。

基本の対策

【情報収集を行う】

誘導というリスクに対する最善の対策は、自らが引っかからないようなリテラシーを持つことです。
そのためには、どのような攻撃手法が流行っているのか、自分であればどのようなリスクが考えられるのかということを知ることが何よりも大切になります。

ただ、すべてをいきなり知ろうとするのはもちろん現実的ではありません
まずは、毎日セキュリティ関連のニュース記事を一つ読む、IPAが毎年発表する情報セキュリティ10大脅威だけでも知っておくなど目的をもって情報に接してみてはいかがでしょうか。

【万が一の対応手順を把握しておく】

いくら自身のリテラシーが高くなってももちろん誘導に引っかかってしまう可能性があります。

ただ、誘導に引っかかること自体は責められるべきことではなく、その後適切な対応を取れるかどうかがより重要です。

具体的な対応手順は誘導の手法や被害によって異なるため今回は言及しませんが、最低でも、もし誘導に引っかかった場合まず誰にどうやって報告する必要があるのか、その他に警察や消費者庁などの相談窓口にはどのように連絡することができるのかといった部分だけでも明確にしておくことをおすすめします。

まとめ

「情報セキュリティリスク」と聞くと非常に広範なように見えますが、基本の土台はある程度重なる部分もあります。

最初からすべてを知って対応しようとするのではなく、まず基礎を理解し的確に押さえていくことから始めてみてはいかがでしょうか。

参考資料

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする