組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編②

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.ついに連載10回目です!

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、真っ赤な、ゆいりんごー!・森田昇です。はい、ゆいりーです。総選挙は過去すべて辞退な劇場至上主義者という、他のメンバーとは逆方向の独自性っぷり、ぜひ見習いたいものです。
ついに連載10回目です!某少年ジャンプでは人気がないと打ち切られる回数を迎えましたけど、どうやら無事連載は継続となったようです。ホッ。
本原稿の依頼者からも、「また10大脅威に戻ったのですね。こうなったら10大脅威カテゴリーでひとまとめにできるくらいの回数を重ねてくださいよ!」と、 やれ書けすぐ書け速く書け、とのプレッシャーを受けていますので、BtoB業態の中小企業の経営者層も努力・友情・勝馬!を感じられる少年漫画誌の王道チックなコンテンツを数多くご提供していこうと思います。

あ、勝馬とさらっと書いちゃいましたけど、自分は東スポ派です。ガッツリ1日36レース購入するときは馬三郎派。
勝馬ごめんなさい。かれこれ25年以上の東スポ読者なので浮気はもうできないですよね、あの馬柱表に慣れてしまいましたから。
そんな見出しはおろか日付までエンタメ性溢れる東スポ(夕刊ですし)、実はですね、ことプロレスと競馬の記事はガチですから!的中もよくしますし、コラムも面白いですよ!と、いつか競馬のコラムを東スポに連載することを夢見る42歳、終わりの雑談ちっくなことを書いてしまいました。
ちなみに少年ジャンプの正式なフレーズは、努力・友情・勝利!ですね☆最近の新連載は15回前後で打ち切られることも多いのでまだまだ油断大敵。頑張ります。欲しがりません勝つまでは!





2.今回のテーマは?

それでは、本題のコンテンツについてです。
新連載第2回目のテーマは、初心を忘れず「情報セキュリティ 10大脅威 2017 (2)組織編②」です。

シリーズものとして、スマートフォン編のように「情報セキュリティ 10大脅威」からお送りいたします。
いよいよBtoB業態の中小企業の経営者層が気になる、企業組織に関する事柄ですよ!あ、第1回目と同じく資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編②として、標的型による情報流出についてはお話できればと思います。順位でいう第1位ですね。今年は誰だろう総選挙第1位。速報第1位には目ん玉飛び出ましたからねぇ。

組織編

3.「標的型攻撃による情報流出」とは?


標的型攻撃とは、企業や民間団体や官公庁等、特定の組織に対して、メールの添付ファイルやWEBサイトを利用してPCにウィルスを感染させ、
そのPCを遠隔操作して、別のPCに感染を拡大し、最終的に個人情報や業務上の重要情報を窃取することです。

去年も1位ですから、堂々連覇達成です。標的型攻撃による被害は去年に引き続き発生していますね。
不特定多数にウィルスなどをばら撒くのではなく、あくまで目的をもって特定組織に攻撃を仕掛けてくるのです。
メール、WEB、標的組織の関連会社を踏み台、が主な攻撃方法。

最近だと、チケットぴあでお馴染みのぴあ株式会社へのサイバー攻撃の例がありました。
なんでも不正アクセスによって個人情報が15万件流出して、その流出したクレジットカードの不正使用で700万円近い損害額が発生したとか。

個人情報保護法の改正により、今までは5,000人以下の個人情報取り扱いをする小規模取扱事業者なら対象外だったのが、先月から小規模取扱事業者にも個人情報保護法が適用されるようになりましたからね。
個人情報のデータベースには、メールソフトのアドレス帳や従業員名簿も含まれますから、ほぼすべての事業者に対して個人情報保護法上の各種義務が課されることとなり。 面倒臭い気持ちを奮い立たせて、個人情報保護法にかこつけて情報セキュリティもついでに強化しちゃいましょう!今がチャンス!

です。



4.では、対策はどのように?


ぴあの例では、WEB上でのアプリケーションを作成するために使用される「Apache Struts2」というソフトウェアに脆弱性が存在していたことと、ぴあが考えていた発注仕様や運用ガイドラインを委託先が完璧には実現できていなかったことが、不正アクセスを許した原因と発表されていますね。

うーむ、開発ツールの脆弱性に委託先のミス、これはなかなかアンダーコントロールしにくいような…。
と、悩んだときは、ハイIPA!
10大脅威にも、しっかり対策が記述されていますよ!
曰く、


内部へ侵入されることを想定した多層防御を!

多層防御

ううむ、言うは易し行うは難し、ですなコレ。

一番はシステムの要件定義から多層防御を前提にする、あるいは設計段階で構築することでしょうけど、すでにシステム導入終わっていますものね、
知りたいのは「今からどう改善するのか」ですよね。
予算をかけずにできる対策として、OSやソフトウェア、ウィルス対策ソフトの最新化は絶対に行うとして、オススメなのは下記の3点。

1.個人情報など、企業として重要な情報はネットワークから分離して保管!

そもそも社内外ネットワークから切り離したPCに保管しておけば、物理的にそのPCを触らない限り漏洩しません。多少の不自由は我慢です。
データを取り出す際に使用するUSBメモリもその管理と指紋認証付を忘れずに。

2.物理的に分離できない場合は、アクセス制御を行う!

保管先のサーバ内の各フォルダにアクセス制御をかけておけば、一部の人間しか触れません。1.に比べるとちょっと弱い対策ですが。

そして、最後は、

3.大事な情報は取り敢えず暗号化!


1,2に比べると対策になっていない感もありますが、流出しても致命傷は負わない、ということで。

というか、個人事業主ならともかく、企業の情報セキュリティではしっかり予算と人員を割いて、
組織的な体制を構築することで継続的な対策を実施しないといけませんと、そうIPAが言っているのですが、
そんな人員と予算がない場合は兎にも角にも上記対策から始めてみませんか…?と控え目に提言しつつ、
従業員の情報リテラシーの向上って本当に大事な施策なんだと実感もしつつ、次回も組織編について実例をもとに説明していこうと思います。

ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、安田記念のサトノアラジン、キレキレでしたね。
パンパンの良馬場、外枠、ハイペースと好走条件3拍子揃ったとはいえ、馬群一飲みでしたから強い勝ち方でした。
ここ1年以上、愚直にトライアル→本番を繰り返してきた陣営の勝利ですね。好走条件に当たれば勝てるときが来る、ですな。
トライアルの京王杯が重馬場、内枠、スローペースと悪条件3拍子揃った中での惨敗でしたから気にすることなかった、という結論でした。

今後はどこに向かうのか未定らしいですが、好走条件さえ揃えば海外遠征でも十分通用しそうですし、とても楽しみです。
しかし2~3歳時のもったらもったら感を馬券で体験した身としては、結局マイラーかよ!と叫んでしまいたくなる勝利でした。

それにしても時計の速いこと速いこと!騎手の皆さん超スローだった日本ダービーの反省をしたのですかね?というハイペース。

それをあわや押し切ろうとしたロゴタイプも強かったですね。さすが去年の覇者。
いやぁハイペースの競馬って本当、色んな意味でドキドキして面白い!

ちなみに馬券はレッドファルクスから直線で外へ斜め走りした瞬間に泣きたくなりました。
あんなに馬群が壁になるとは…ペースは向いたから、せめてもうちょっとだけ馬群を捌ければ…という馬が多かったレースでしたね。
時計が速くなるからスプリント寄りのマイラーが有利だと思ったのは当たっていたのですが。致し方なし。







関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ