今回は「情報セキュリティ」をとりあげます。
情報セキュリティにおける対策や対応は、その実施主体の属性や階層により様々です。
一般的な知識として知っておくことが役に立つ内容として、今回はその概要をご紹介します。
日本におけるITを支える組織=IPA
「情報処理推進機構」(IPA:Information-technology Promotion Agency, Japan)は、経済産業省が所管する独立行政法人です。(参照:独立行政法人情報処理推進機構)
「ITの利便性が私たちの暮らしや社会に豊かさをもたらす一方で、その安全を阻む脅威が存在しています。企業・組織や社会基盤を狙ったサイバー攻撃や、コンピュータウイルス、不正アクセスなどのセキュリティ上の脅威への防護力を高め、IT社会をより安全なものにするため、IPAでは、サイバー攻撃から企業・組織を守る取り組みや、国民に向けた情報セキュリティ対策の普及啓発、IT製品・システムの安全性を確保するための制度運用などを推進しています。」(出典:事業案内パンフレット)と明記されています。
つまり、日本の情報通信技術のソフトウェア分野において、技術・人材的に支援するために設立されたものです。
情報セキュリティの脅威
情報セキュリティ10大脅威2022
(出所:「『情報セキュリティ10大脅威 2022』解説書」をもとに筆者作成)
図表1は、2022年に発表された「情報セキュリティ10大脅威」です。
※詳細はリンクからパンフレットをみることができますので参考にしてください。
対象を「個人」と「組織」に分け1位~10位でランキングされています。
昨年の順位もそれぞれ併記されています。
▶「フィッシング詐欺」とは、
・「インターネットを利用する人から、悪用者が金品を得るためにクレジットカード情報や銀行口座情報を騙し取る手口の犯罪」(出所:りそなグループHP)
・「有名企業やサービスからのメール・SMSを装い、受信者に偽のウェブページにアクセスするよう仕向け、そのページにおいて『IDやパスワード』『クレジットカード番号』などの入力を要求し、情報を盗み取る行為」(出所:NTTドコモ)
のことです。
典型例は、〇〇銀行、□□市場、△△.comなど、普段使っているような信頼する主体になりすまして、Eメールやショートメッセージから詐欺サイトなどへ誘導していく手口になります。
▶「ランサムウェア」は、「感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェア(=悪意のあるソフトウェアの総称のこと)です。なお、ランサムウェアという言葉はRansom(身代金)とSoftware(ソフトウェア)を組み合わせた造語です。」(出所:TREND MICRO)
▶フィッシング詐欺は、主に個人向けパソコンユーザーに対して、
▶標的型攻撃は、主に企業・機関といった組織に対する
攻撃になります。
個人ランキングにおける対策の一例
1位:フィッシングによる個人情報等の詐取
・SMSやメールで受信したURLや、SNSの投稿内のURLを安易にクリックしない
・自身の資産や重要情報を扱うウェブサイトは、ウェブブラウザのブックマーク(お気に入り)にあらかじめ登録。
・あらかじめ登録したURLやサービス運営者が配布している公式アプリを利用してアクセスする。
・多要素認証の設定を有効にする。
・迷惑メールフィルターを利用
通知があった際は自身のログインによるものか確認する。
・いつもと異なるログインがあった場合に通知する設定を有効にする。
2位:ネット上の誹謗・中傷・デマ
・情報モラルや情報リテラシーの向上、法令遵守の意識の向上
・情報の信頼性の確認、ファクトチェック
3位メールやSMS等を使った脅迫・詐欺の手口による金銭要求
・受信した脅迫、詐欺メールは無視する。
受信したメールに、被害者のパスワードが記載されていても、実際にハッキングされていることはほぼない。
・メールに記載されている番号に電話をしない。
受信した脅迫や架空請求のメールについて専門機関に相談したい場合は、そのメールに記載された連絡先ではなく、自身で調べた正規の電話番号やメールアドレスに連絡する。
・メールで要求された支払いには応じない。
組織ランキングにおける対策の一例
1位:ランサムウェアによる被害
・組織としてのランサムウェア対応体制の確立
対策の予算の確保と継続的な対策の実施
CIOなど専門知識を持つ責任者を配置
・迅速、継続的に対応できる体制(CSIRT(「情報セキュリティ対策チーム」のこと)等)の構築
・多要素認証の設定を有効にする。
・添付ファイルやリンクを安易にクリックしない。
・提供元が不明なソフトウェアを実行しない。
(「提供元の確認」をプロトコル(業務手順)化する。特に、手順の最初に設定しておく。(出所:IPAの記載内容において筆者が追加コメントとして記載しています。))
・機器の脆弱性対策を迅速に行う。
・セキュリティ対策ツールの利用や設定見直し。
・ネットワーク分離
・共有サーバー等へのアクセス権の最小化と管理の強化
・公開サーバーへの不正アクセス対策
・バックアップの取得
2位:標的型攻撃による機密情報の窃取
・組織としての体制の確立
CSIRTの構築
対策予算の確保と継続的な対策の実施
セキュリティポリシーの策定
・情報の管理と運用ルール策定
・サイバー攻撃に関する継続的な情報収集
・従業員に対するセキュリティ教育の実施
・インシデント対応の定期的な訓練を実施
・管理端末への継続的セキュリティパッチ適用
・統合運用管理ツール等によるセキュリティ対策状況の把握
・アプリケーション許可リストの整備
・アクセス権の最小化と管理の強化
・ネットワーク分離
・重要サーバーの要塞化(アクセス制御、暗号化等)
・取引先のセキュリティ対策実施状況の確認・海外拠点等も含めたセキュリティ対策の向上
・攻撃の予兆/被害の早期検知…UTM、IDS/IPS、WAF、仮想パッチ等の導入
3位:サプライチェーンの弱点を悪用した攻撃
・業務委託や情報管理における規則の徹底
・報告体制等の問題発生時の運用規則整備
・信頼できる委託先、取引先組織の選定
・複数の取引先候補の検討
・納品物の検証
・契約内容の確認
・委託先組織の管理
おわりに・・・
今回は「情報セキュリティ」の概要をご紹介しました。
技術上の知識がとても必要な分野になります。
一方で、対策をみてみると、
個人では注意や慎重さをもつことで効果が得られたり、
組織では体制を整え、訓練を行うことで深刻なダメージを軽減できることがわかりました。
訓練では特に、
「標的型攻撃メール」への訓練や、
「サイバー攻撃事案発生時」の対応訓練など、
次第に対策が進んできています。
一例ですが、標的型攻撃メールによる訓練では、
第1回目では約50%のメール開封率であったものが、
第3回目では約10~30%台に改善された事例があります。
また、訓練を繰り返し行うことで、
メール開封率を一桁%台へと改善が図られている組織もあります。(出所:非公開)
業務を行う中でメールやリンクを開いてしまうことは、
その大部分ですでにヒューマンエラー(人為的要因)の領域になります。
医療事故から参照すると、
点滴ラインと経腸栄養ラインの誤接続により、死亡例といった重大事故が過去発生しました。
その改善策として、「各種ラインの接続部を物理的に接続不可能な形状にする」という形で対策を講じました。
これは、手技を施行する際の、さまざまなリスク要因の中でも、ヒューマンエラーによるリスクの大部分を改善する策となりました。
こういった視点で標的型攻撃メールを観たとき、そこに改善策のヒントがあると考えています。
具体的な改善策は紙面の都合で別の機会に譲りますが、
例え1%だとしても標的型攻撃メールに対して開封してしまう現状があるわけです。
その1%によって生じる事案の重大性や、
いつ誰かがその1%になってしまうかもしれないといったハイリスクな状態が継続していることは、
組織にとってたいへん深刻な状態が継続している(放置されている)ということにもなっているといえるでしょう。
誤解のないよう補足しますと、
訓練はたいへん有効です。
しかし、視点をかえるとその効果はとても限定的とも観ることができる。
というようにご理解ください。
ぜひとも訓練は継続しながら、
今後の対策や改善策への試みにとって何らかのお役に立てていただければうれしいです。
知った「今がスタートライン!」です。
