2019.01.31 レポート
JNXセミナー2018のIPAプレゼンテーションでは、「引き続き行われるサイバー攻撃、あなたは守りきれますか?」と題し、独立行政法人情報処理推進機構(IPA)セキュリティセンター セキュリティ対策推進部 土屋 正氏より、情報セキュリティ10大脅威2018 組織編の紹介があった。
IPAの「情報セキュリティ10大脅威」とは、IPAが2006年から毎年発行している資料で、前年に発生したセキュリティ事故や攻撃の状況等から IPAが脅威候補を選出し、セキュリティ専門家や企業のシステム担当等から構成される「10大脅威選考会」の投票により、TOP10入りした脅威を「10大脅威」 として、脅威の概要、被害事例、対策方法等を解説したものである。
今回のJNXセミナーでは、JNXユーザが対象のため、対象に関連ある「組織」の10大脅威から7項目の脅威について、解説いただいた。
≪1位≫ 標的型攻撃による被害
標的型攻撃メールの添付ファイルを開かせるために、工夫したファイル名やさも実在する案件のメールになりすまし、添付ファイル(ウイルス)を開かせようとする意図が感じられる攻撃がふえてきている。対策としては、不審なメールの添付ファイルは開かない、OSやアプリケーション・セキュリティソフトを常に最新の状態にする、警告の意味が分からない場合は操作を中断する等を行うこと。わからないことは、情報システム部門、職場内の有識者などに相談すること。
≪2位≫ ランサムウェアによる被害
2017年5月、世界的に猛威を振るったランサムウェアWanna Cryptor(WannaCry)が有名である。
感染してしまった時のために、重要なファイルは定期的にバックアップしておくこと。
≪4位≫ 脆弱性対策情報の公開に伴う悪用増加
公開された脆弱性対策情報を悪用、脆弱性対策情報を基に攻撃コードを作成し、広く利用されているソフトウェア製品(Apache Struts)を狙う。予防対策は、脆弱性関連情報の収集を行うこと。IPAのWebサイト等参考に。
≪5位≫ 脅威に対応するためのセキュリティ人材の不足
組織内におけるセキュリティ人材が不足し、セキュリティ上の脅威に対応できる体制が整えられず、被害拡大のおそれがある。人材に対する予算の確保や中長期的な戦略、人材育成を視野にした採用等、組織としての対応体制の確立が必要である。
≪6位≫ ウェブサービスからの個人情報の窃取
個人情報やクレジットカード情報を窃取される被害が続いている。これらは、企業が開発したウェブアプリケーション/OS・ミドルウェア・CMS等/共通的に使われるソフトウェア( Apache Struts、OpenSSL、WordPress等)の脆弱性を悪用している。対策としては、セキュリティ対策の予算・体制の確保、セキュアなウェブサービスの構築、セキュリティ診断によるチェックをおこなうこと。
≪8位≫ 内部不正による情報漏えい
従業員・元従業員が内部情報を持ち出し私的に利用や、社内規則を守らず社外で業務を行うために持ち出しことにより、その情報を紛失・組織の社会的信用が失墜し、経営にも影響を及ぼす可能性がある。対策としては、アカウント、権限の管理・定期監査、外部記憶媒体の利用制限、未許可の機器の接続禁止、機密保護に関する誓約、罰則の周知と相互監視の強化等が効果的である。
≪9位≫ サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られボット化したIT機器からDDoS攻撃や、組織のウェブサイトや組織の利用しているDNSサーバーに大量のアクセスにより、ウェブサイトの利用者がアクセスできない状態になる。DDoS攻撃の影響を緩和する外部リソース等を活用することが予防につながる。
≪まとめ≫
「10大脅威」の順位は毎年変動するが、基本的な対策の重要性は長年変わらないため、下記の情報セキュリティ対策の基本は忠実に実施して欲しいとの提言をいただいた。
◆情報セキュリティ対策の基本
ソフトウェアの脆弱性への攻撃は、OSやソフトは最新の状態にすること
ウイルス感染での攻撃は、ウイルス対策ソフトを導入すること
パスワード窃取の攻撃は、パスワードを強化すること
設定不備への攻撃は、共有設定を見直すこと
誘導(罠にはめる)攻撃は、脅威や攻撃の手口を知ること