組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編③

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.チャンスはいつ来るのか予想できないのです

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、なんでもなーい、なんでもなーい、何があってもへこたれない・森田昇です。はい、おぎゆかです。総選挙の速報第1位にはホント、目ん玉飛び出ましたねぇ。
選抜ほぼ確定というジャイアントキリング、正直何が起こったのかよく分からない事態ですが、面白くなってきたぞ(棒)。
そんなわけでですね、チャンスというのはある日突然やってくるものだと改めて認識させられる速報だったわけです。

本原稿の依頼者からも、「アクセス分析して、今までのどんな記事が調子良かったのか、共有しますよ!
調子いい分野を伸ばしていけば今後何かのチャンスに繋がるかもしれませんし、反響見えないと書きづらいでしょ?」と、
反響見えればもっと書けるよね?と暗にプレッシャーを受けていますので、BtoB業態の中小企業の経営者層が突然やってくる新規取引のチャンスをガッチリ掴めるようなコンテンツを数多くご提供していこうと思います。
あ、新規取引といえば、各種情報の管理を求められることがあると思うのですよ、いわゆる営業秘密ってやつですね。

決して情報を漏らしてはならない、との誓約書を書かされることも多いと思います。
そう、営業秘密も個人情報みたいなもの、決してお漏らしはいけません。

先月改正された個人情報保護法により、ほぼすべての事業者に対して個人保護法上の各種義務が課されることとなりましたからね。
営業秘密に関しても個人情報保護法にかこつけて情報セキュリティを強化しちゃいましょう!今がチャンス!と、先週に引き続き勧誘をば。
大事なことは繰り返し訴えていくスタイル、決して文章量の調整ではありません。
むしろ連載を重ねていく度に文章量が増えているこの連載、確実に自分の首を絞めています。いやはや。
短文でまとめられるスキルが欲しい、でも長文を書ける連載も欲しい。悩ましいところです。




2.今回のテーマは?

それでは、本題のコンテンツについてです。
新連載第3回目のテーマは、初心を忘れず「情報セキュリティ 10大脅威 2017 (2)組織編③」です。

シリーズものとして、まだまだ「情報セキュリティ 10大脅威」からですよ。恐らく全7回ほどになるかもなこのシリーズ、と予告。
長いけど飽きさせないよう頑張りますよ!あ、第1回目と同じく資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編③として、ウェブサービスからの個人情報の搾取についてはお話できればと思います。順位でいう第3位ですね。
あれ?第2位は?と思うかもしれませんが、第2位のランサムウェアによる被害については、
こちらの連載を参照(http://fvc-planner.com/what_erp/secure07.html

4.重要なデータは定期的なバックアップを!

でおひとつ。お茶を濁す、とも言います。


組織編

3.「ウェブサービスからの個人情報の搾取」とは?


ウェブサービスの脆弱性を悪用して、ウェブサービス内に登録されている住所や氏名やクレジットカード情報が窃取される事件が引き続き発生しています。ウェブサイトに共通的に使われるソフトウェア(OpenSSL、Apache Struts、WordPressなど)の脆弱性を突いて侵入、ウェブアプリケーションの脆弱性を突いて侵入、リモート管理用のサービスからの侵入など、様々な方法でウェブサイトに不正アクセスを仕掛けてきます。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められています。 最近だと、チケットぴあでお馴染みのぴあ株式会社へのサイバー攻撃の例がありましたね。
前回で標的型攻撃の一例にも挙げていましたが、「Apache Struts2」というソフトウェアの脆弱性を突いてきた点では、この攻撃にも当てはまるのかな、と。
むしろ「Apache Struts2」の脆弱性を突くために、個人情報を管理していると思われるウェブサービスを標的にして片っ端から攻撃を仕掛けていたっぽいです犯罪グループは。日テレや栄光ゼミナールのウェブサイトも攻撃されましたしね。

しかしWordPressってホームページ作成ツールですから、これを使って作成された会社のウェブサイトは多いですよね。
もう脆弱性対応のパッチは提供されているようですが、何もしていないような…と心当たりがある人は今すぐアップデートを!
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html
東京都中小企業診断士協会三多摩支部が推しているJimdoや、個人的に使ってみたいペライチといった無料作成ツールは大丈夫なのかしら?と、
ちょっと心配になる事象ですよねぇ。えぇ、大丈夫なのでご安心をば。


組織編


4.では、対策はどのように?


ウェブサービスへの攻撃ですから、そもそも会社でホームページを作ってなければ何の問題もありません。
しかしですね、「No Home(Page)、No Life」という格言があるように、今や会社の名刺変わりに作成されているのがホームページ、皆様も当たり前のようにお持ちだと思います。むしろホームページがないと名刺貰っても会社の生存確認できないですもんね。

あ、ちなみに先の格言は、わたくしが作成しました。今度Tシャツ作ってみよう。
そうそう、Tシャツといえば、白川次郎さんの「あと100!」Tシャツ、東京競馬場で見掛けたときに買っておけばよかったと未だ後悔しています。再販希望します。
はい。
話を元に戻して、

悩んだときは、IPA!
10大脅威にも、しっかり対策が記述されていますよ!
曰く、


ウェブサービスのセキュリティ対策をしっかりと。継続的なパッチの適用も!

多層防御

ううむ、しっかりとしたセキュリティ対策として、セキュアな(堅牢な)ウェブサービスの構築を、と言われても…、ですなコレ。

ファイアウォールはきちんと設定、侵入システムの構築、ログ取得と継続的な監視、といったことが対策として並べられていますが、知りたいのは「それをどのように行うか」ですよね。
予算をかけずにできる対策として、OSやウィルス対策ソフトの最新化は絶対に行うとして、オススメなのは下記の3点。

1.ホームページ作成したときのツールのウェブサイトをこまめに確認!

先ほどのWordPressの例があります。今すぐ確認してみましょう!もしかしたら修正パッチが提供されているかもしれません。
多少の面倒臭さは我慢です。どのツールで作成したか分からない、そもそも外注に頼んでいるという方も、念のため調査してみましょう。

2.自社サーバのセキュリティ対策を再確認!

自社のウェブサイトは外部サーバにあるよ、という方も念のためサーバ管理会社に確認しておきましょう。
「うちのホームページ、とある連載記事でいろいろ書かれているけど大丈夫?」と聞けば、きっと懇切丁寧に導入しているセキュリティ対策を教えてくれます。強化施策の勧誘もされるかも。
自社でサーバを管理している場合は、ネットとの接続経路をまず確認で。困った場合は専門家に!ここにも一人いますよ!

そして、最後は、

3.怪しい挙動は、アクセスログの検証を!


1,2に比べると対策ではなく検知策になっていますが、攻撃を受けていることが分かればいろいろ対策打てる、ということで。

急にサイトが重たくなった、表示できないと、攻撃を受けているのかな?と怪しいときに必須です。攻撃を受けること自体があかんという考え方もありますが、それは犯罪グループの気持ち次第ですからねぇ。目立たなくても攻撃されるのです。

霞ヶ関と勘違いされてアノニマスに攻撃された霞ヶ浦のように。本当かどうか微妙ですけど。

というか、個人事業主の自己紹介ホームページならともかく、ウェブ上で商売を行う企業の情報セキュリティではしっかり予算と人員を割いて
、 組織的な防衛体制を構築することで継続的な対策を実施しないといけませんと、そうIPAが言っているのですが、
たかがウェブサイトに組織的な対策をしろと?とあまりウェブに関心がない場合は兎にも角にも上記対策は最低限行うべきですよ、
と直球で提言しつつ、もはやホームページ含むウェブサイトって企業のビジネスの根幹にもなっているんだと実感もしつつ、
次回も引き続き組織編について実例をもとに説明していこうと思います。
ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、ベルモントステークスのエピカリス、出走取消は残念でしたね。
父は日本が誇るダート血統であるゴールドアリュール、母系もスタミナ血統で2,400mに不安なし、先行できるからスピード負けしないし、何より小頭数で展開も向く、と勝利へのフラグが立ちまくっていたのですけどね。
唯一ドバイ遠征からの休み明けで調整が不安でしたが、その不安が的中する形に。とはいえまだ3歳、ここで無理する必要はないですから。
この後は秋までゆっくりしそうですが、賞金も結構持っているので焦らずじっくり更なる成長を促して欲しいです。
それにしても、今まで数少なかったアメリカ遠征も去年のラニからすっかりトレンド入りですね。

3歳ダート路線は国内整備できていないから今後も増えそうだなぁ…ユニコーンSを早くG1に昇格させてくれないかしら?海外遠征賛成派ですが、3歳春までは国内で戦って貰いたい気も。 ちなみに馬券はエピカリスから不戦敗でした。はい、返金されました。
日本時間だと朝早くの発走だから、万が一寝過ごしたらと思って夜の早い時間に買ってしまったのですよ、これが。
土曜夜は酒飲んでいたので出走取消の報を確認したときにはレースが終わっており。まぁ買い直してもハズレていましたけどね。致し方なし。





関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ