組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編④

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.ニュースソースの順番を間違えるとえらいことに

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、エンジェルエイドボムビーム!・森田昇です。

はい、りりぽんです。ナースエンジェルではありません。いやはや。総選挙の話題をすべてかっさらっていきましたねぇ結婚宣言。
BSスカパーで生放送見ていましたが、正直何が起こったのかよく分からない場内&視聴者たち…しばらく放心しましたよ。

そんなわけでですね、完全に第19位~17位の演説が潰されたわけですよ。ニュースソースの順番を間違えると、肝心の知りたい情報がかき消されてしまうものだと改めて認識させられる演説だったわけです。
残念みぃちゃん、ドンマイかおたん、みーおん無念。

本原稿の依頼者からも、「アクセス数がいまいち伸びないので、もう少し尖った記事にしましょうよ!

あ、10大脅威シリーズ終わったところで相談ってことで」と言われて、つい最後まで聞かないでマニアックに突き抜けた記事を考え始めてしまいましたので、BtoB業態の中小企業の経営者層がホームページの「What’s New!」でニュースの順番を間違えることなく、アピール上手になるようなコンテンツを数多くご提供していこうと思います。
あ、ニュースの順番といえば、悪いニュースの後に良いニュースが来た方がいい印象になりますよね。
過去にとある企業でホームページ更新担当していたときに、2つの支店を本店に統合した後に、違う場所へ支店を開設した、というニュースを発信したことがあるのですよ。

差し引きマイナスだけど、まぁプラスも同時だからそこまでマイナスイメージないよなぁと「What’s New!」にアップしたのですけど、間違えて統合された支店名と開設した支店名を同一にしてしまいまして。
いったん閉鎖した支店をまた出したのか?と、マイナスどころか困惑させてしまうニュースをしばらく載せてしまったことがあり。
ニュースの順番も大事ですけど、基本的な誤字脱字はダメ、絶対。それ以降、ネット上に公開するものは何でも第三者チェックをかけるようにしました。

安全策、大事。情報セキュリティ、大事。




2.今回のテーマは?

それでは、本題のコンテンツについてです。
新連載第4回目のテーマは、まだ終わらんよ「情報セキュリティ 10大脅威 2017 (2)組織編④」です。

シリーズものとして、今週も「情報セキュリティ 10大脅威」からですよ。

最近もまたYahoo!トップを飾るウィルス騒ぎがありましたね、何でもウィルス入りの添付ファイル名が「請求書.pdf」で送られてきたとか。
こりゃ開いちゃいますよねぇ会社関係の人だと。そう、情報セキュリティの旅はずっと続くのです。おれたちの戦いはこれからだ!エンドにならないよう、打ち切りを恐れずにやりたいようにやりますよ!あ、第1回目と同じく資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編④として、サービス妨害攻撃によるサービス停止と、IoT機器の脆弱性の顕在化についてはお話できればと思います。
順位でいう第4位と第8位ですね。

あれ?まとめてやるの?と思うかもしれませんが、IoT機器を踏み台にしたサービス妨害攻撃が急増しているので、この際ひとまとめに、と思った次第です。
決して無理矢理全7回に収めようとしているわけでは、ありません。きっと。多分。

組織編

3.「サービス妨害攻撃によるサービスの停止」と、その原因の一つである「IoT機器の脆弱性の顕在化」とは?


ルータや医療機器、はたまたテレビや自動車といったIoT(Internet of Things)機器の脆弱性を悪用してボット化することで、企業や民間団体等、組織のウェブサイトや組織の利用しているDNSサーバに大量のアクセスを行うDDoS(分散型サービス妨害)攻撃が急増するなど、IoT機器の脆弱性に関する脅威が顕在化しています。

攻撃によりウェブサイトやDNSサーバが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、ウェブサイト運営者が対応に追われました。
DDoS攻撃とは、対象のウェブサイトへF5キー連打で直接大量のアクセスを送るDoS攻撃とは異なり、乗っ取ったコンピュータ機器から一斉に対象のウェブサイトへ大量のアクセスを送る方法です。

攻撃を受けた側からは、真の攻撃元を割り出すのが難しいことと、DoS攻撃と違って通常のアクセスと見分けがつきにくいため、選択的にアクセスを排除することが難しい、という特徴があります。
それでこの乗っ取り、普通のパソコン以外にも、IoT機器もその脆弱性から乗っ取られる事象が発生しています。インターネットの接続口であるルータが乗っ取られたらあかん、はまだ分かりますけど、電気自動車の専用アプリや医療機器インスリンポンプにも遠隔操作可能な脆弱性があるなんて、いやはや恐ろしい。

そういえば、第2位のランサムウェアに感染したIoT機器としてスマートテレビがあげられていましたよYahoo!トップで。
ネット接続しているイコール、ウィルスに感染する恐れあり、ですからね。ランサムウェア、なんて恐ろしい子。




4.では、対策はどのように?


時代は今、IoT。

何でもかんでも取り敢えずネット接続しようぜ!というわけで、テレビやエアコン、電子レンジや冷蔵庫まで、タイマーや温度調節をスマホから設定できますよーとか、
電力使用量や冷凍室の状況とか、スマートメーターちっくなことをあらゆる家電で行っているわけですよ。

スマホと連動した自動カーテン開閉機も登場するなど、何もかもIoTですね。ハイアールは洗濯機もインターネットに接続する予定みたいですし。
いや、洗濯機は正直何の利点があるのかサッパリ分かりませんが、いやぁ世の中ホントIoTですね。

そのうち髭剃りや鼻毛カッターもIoT化されるのかしら?剃り履歴を検索できるとか、学習能力による使用者に合わせた剃り心地の提供とか。
うん、いらない機能ですね。

でもね。

個人的には、オール電化と同じ道を辿るのでは?なんて心配しています。
東日本大震災時、インフラを一つに集中するデメリットが強調されて普及が鈍化したオール電化、計画停電時はどないしろっちゅーんじゃ、になりましたからね。IoTも同じように通信ケーブルが切断されたら一切合切動かない、なんてことになるのでは?と心配しています。

ちなみに、福島以北ではオール電化は普及していないそうですね、単に冬の暖房の電気代がバカ高くなるからってことですが。化石燃料万歳。
はい。

話を元に戻して、

悩んだときは、IPA!
10大脅威にも、しっかり対策が記述されていますよ!
曰く、



利用者は利用しているIoT機器の適切な管理を。開発者は適切な利用者を意識した対策を!

ううむ、適切な管理ってなんじゃらほい…ですなコレ。
開発者の立場にはならないと思いますので、IoT機器の利用者の立場からの対策を読んでみますと。
機器の説明書はしっかり読もう、不要な機能は無効化にしておこう、ソフトウェアの更新設定をしよう、といったことが対策として並べられていて、いやいやIoT機器の管理も大事ではあるけど、
それよりも知りたいのはIoT機器などに「攻撃された場合にどう防御するのか」ですよね、適切に。

ところがIPAでは、

DDoS被害に遭わないためにウェブ提供事業者だけでなく、IoT開発ベンダーも開発を!

という、何をしていいのか分からない記述になっており。
なので、設定だけでどうにか適切にできる対策としてですね、サーバを自社で管理している事業者向けにオススメするのは下記の3点。

1.同IPからのアクセス回数をサーバ側で制限!

DoS攻撃もDDoS攻撃も、いつ標的にされるか分かりません。
まずは、DoS攻撃を防げるようにサーバの設定を適切に変えてみましょう。多少の面倒臭さは適切に我慢です。

2.海外からのアクセスをブロック!

日本国内のBtoB業態であるならば、こんな方法もあります。
「.htaccess」にて、日本に割り当てられているIP以外からのアクセスを一思いに遮断しちゃいましょう。
設定手順は非常に簡単ですが、分からない場合は専門家に!はい!適切に立候補!

そして、最後は、

3.大規模アクセスに耐え切れるサーバに買い替えよう!


1,2に比べると直接的な対策ではなく、適切な防御策にもなっていませんね。てへっ。
というか、攻撃を受けてもビクともしない巨大サーバ、というのも方向性としてアリなのかな?などと思いつつ、
そもそもそんな資金ないよなぁと直球でボヤキつつ、会社のIoT機器は適切に設定を確認してくださいねとお願いもしつつ、次回も引き続き組織編について実例をもとに説明していこうと思います。
ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、函館開催が始まりましたね。ついに夏競馬の始まり!という気になる北海道シリーズの幕開けです。
それにしても馬場が良すぎで、良すぎる、パンパン、ということでレコード連発の異常な開幕週となりました。

おかしいな、函館競馬場は洋芝だから野芝の中央場所と違って基本低速決着になる、だから洋芝適正が何より大事なのだよ、というのが夏競馬予想のデファクトスタンダードだったのですが、持ち時計第一で考えないといけないですねあそこまで高速だと。
特に函館スプリントの時計、ありゃ異常ですわ。前半3ハロンのラップはまるで小倉競馬場みたいでしたよ。
いやもう一昔前の秋の中山開幕週並に速い、速過ぎる。

あ、埼玉県民のソウルフードである十万石饅頭のキャッチフレーズは、「うまい、うますぎる」ですね。
くらづくり本舗も好きな元埼玉県民で御座います。
ちなみに馬券はシュウジからハイペースに巻き込まれました。

いや、ハイペースを演出しちゃいました、ですね。
武豊でもいかざるをえない気性になってしまったのか、それとも肉を切らせて骨を断つ戦法だったのか。
多分前者だと思いますが、そうなるとしばらく様子見かなぁ。まぁスプリント路線はいまだ混沌、なのかもしれませんけどね。致し方なし。






関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ