組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編⑥

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.風評被害って単語、有名になりましたね

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、まほほほまほほんまほほほまほほ~ん!まほの魔法にかけちゃうぞ!森田昇です。

はい、まほほんです。いろいろあって体重が5キロも減ったとのこと、完全なる風評被害に私も激おこぷんぷん丸で御座いました(懐かしい単語が一発変換、さすがWindows10)。
頑張れまほほん!心の底から応援しているよ!とのたまう、誇りの丘公演を見に早く新潟まで行きたい42歳一児の父です。
えふふ。NGTの推しメンですまほほん。

つまりですね、SNSの発達によりアイドルも気軽に自分自身を発信できるようになったのですが、その代わりに炎上やありもしない風評被害の拡散という、情報化社会ならではのマイナス面も引き受けざるを得なくなってしまったと。
だからといって一度緩めた情報規制、もう後には戻れません。

ということで、BtoB業態の中小企業の経営者層がいわれのない風評被害に苛まれないよう、これからも情報セキュリティという名の情報管理術と、万が一の炎上風評被害時の対策に役立つコンテンツを数多くご提供していこうと思います。
あ、情報管理術といえば、つい先日またランサムウェアが流行しましたね。

なんでもチェルノブイリ原発のモニタリング装置にまで感染してしまったとか。
モニタリングだけならまだしも、制御装置などの基幹システムに感染したらと思うと…さすがにネットワークが外部と切り離されているでしょうけど、どうも福島原発の事故以来、ハードウェアのセキュリティとその対策に不安を覚えるのですよね。

頑張れ日本企業!微力ながら応援します!ということで、ランサムウェアに関しての注意点を再度、下記の3点について周知をば。
つまり、


1.Windows UpdateをしてOSを最新化に!

2.ウィルス対策ソフトの定義ファイルを最新化に!

3.そもそも怪しいファイルは開かない!


4.重要なデータは定期的なバックアップを!

おっと、勢い余って4点になりましたが、ランサムウェアの感染防止に少しでも役立てれば、と。
特に6月後半から7月前半って、4半期締めで請求書関連がメールでたくさん飛び交いますからね。

つい開きたくなる気持ちをぐっとこらえて、締め日をプレミアムフライデーにするって民間企業舐めているのか、そりゃニュースでも取り上げてもらえなくなるわと政府の施策を批判しつつも、安全安心な添付ファイルの取り扱いをお願いいたします。
一度感染した!との噂が拡散されると、情報セキュリティ以外の業務にも影響が出る、いわゆる風評被害に晒される危険性がありますからねぇ。

いやはや。



2.今回のテーマは?

それでは、本題のコンテンツについてです。
新連載第6回目のテーマは、まだ終わらんよ「情報セキュリティ 10大脅威 2017 (2)組織編⑥」です。

シリーズものとして、今週もやっぱり「情報セキュリティ 10大脅威」からですよ。
ランサムウェアの再流行&作成者の逮捕劇もYahoo!トップを飾りましたし。

それにしてもランサムウェアって簡単に作成できるものなのですね、逮捕者がまさか中学生だったとは。
とはいえ、実は不正アクセス禁止法違反事件の被疑者って年代別で見ると未成年者が最も多いのです。

以下の表は、警察庁による「平成27年における不正アクセス行為の発生状況等の公表について」より、過去5年の年代別被疑者数の推移より抜粋したものです
(https://www.npa.go.jp/cyber/pdf/h280324_access.pdf)
年代別被疑者数

この表から読み取れるように、年を取るごとに被疑者は減っています。
BtoB業態の中小企業の経営者層はその年代に相応しい良識と良心が備わっているから、というのが一番なのでしょうけど、実は情報セキュリティにそれほど詳しくないから、という理由もあるのかもしれません。

生まれたときから情報化社会を生きている未成年に負けないよう、これからも良質な記事をどんどん提供していきますよ!
と、不正アクセスを奨励しているのか?なんて心配にさせる前振りですけど、決してそんな意図はないのでご安心を。

あ、第1回目と同じく資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編⑥として、ウェブサイトの改ざんついてはお話できればと思います。
順位でいう第6位ですね。
アノニマスによって攻撃・改ざんされるのなら、うちの企業も彼らに標的にされるなんて立派になったものだ、とある意味感慨深い気持ちになるかもしれませんが、彼らも霞ヶ関と霞ヶ浦を間違えるお茶目さを持っていますから、単に間違われただけ、という可能性も否定できません。

そんな悲しくも切ない目に遭わないよう、しっかり対策していきましょう!

脅威

3.「ウェブサイトの改ざん」とは?


Joomla!のようなコンテンツ管理システムなどに存在する脆弱性を悪用し、ウェブサイトが改ざんされる事例が去年から今年にかけて発生しています。
復旧までウェブサイトを停止することになり、特にオンラインショッピングなどを運営している場合、事業上の被害が大きいです。

また、閲覧者がウィルスに感染するように改ざんされた場合、社会的信用を失うことにもつながります。
ウィルス感染の加害者側になってしまうという恐ろしいことにもなります。

去年の事例には、動物園のホームページが改ざんされて、「動物を自由にしろ」のメッセージを表示するなど、主義主張を目的する攻撃がありました。
ウェブアプリケーションの脆弱性を悪用された可能性がありましたね。

また、コンテンツ管理システムの脆弱性を悪用した攻撃として、前述のJoomla!の脆弱性の修正版公開後に攻撃が活性化し、IPA調査では3日間の内に27,000件以上の不正アクセス攻撃が観測されました。
などと、いろいろな理由・手口で会社のホームページは狙われているのです!

官公庁や公的施設、有名企業だけではありません。
特にウィルス感染の媒体にするのに狙われるのは、アクセス数が多いだろうと思われるホームページなので、ホームページを有効活用している企業は特に要注意。被害者なのに加害者となり、企業や組織の信用が失墜して場合によっては補償や賠償まで求められますから、改ざんってホント怖いですねぇ。
しっかり対策していきましょう。

もちろん、ホームページを余り活用していない企業も対策が必要ですよ。
あ、ホームページ有効活用の術は某森田という専門家までご相談を!



4.では、対策はどのように?


ウェブサイトを運営している企業は、大小問わず対策する必要があります。

IPA曰く、

適正管理



つまるところ、ホームページ作成・保守に使用しているソフトウェアやPCを適切に管理しましょう、ということになります。
これって実は、第11回目で取り上げた「ウェブサービスからの個人情報の搾取」の対策と相当似ているのですよね。
なので、再掲すると共に、PC管理についても少々付け加える感じで。


1.ホームページ作成したときのツールのウェブサイトをこまめに確認!

先ほどのJoomla!の例があります。今すぐ確認してみましょう!
取りこぼしている修正パッチが提供されているかもしれません。
すべて外注に依頼している方、自社でHTMLからすべて組んだ強者の方も、念のため調査してみましょう。

2.自社サーバなどのPCのセキュリティ対策を再確認!

自社のウェブサイトは外部サーバにあるよ、という方も念のためサーバ管理会社に確認しておきましょう。

また、サーバにアクセスするための管理用PCが別管理されている場合、そちらもOSやセキュリティソフトの最新化含めて確認しましょう。リモートで回線にVPNを使っていても、ファイアウォールは大丈夫?などです。
まずはネットとの接続経路を確認で。困った場合は専門家に!某森田まで!


3.怪しい挙動は、アクセスログの検証を!


1,2に比べると対策ではなく検知策になっていますが、後手に回ってもいいのです。
対策は速度が命ですけど、攻撃を受けていることが把握できなければ対策も打ちようがないですからね。怪しいときに必須です。

そして、今回追加で、



4.IDなどのアカウント・パスワードの適切な管理を!

最近のホームページ作成ツールや管理ツールもそうですし、サーバやPCなどのWindowsシステムもセキュリティが強固となっています。セキュリティ上の穴を一個一個丁寧に塞げば、ほぼ不正アクセスは防御できます。
しかし、IDなどのアカウントやパスワードといった、人の力で管理せざるをえないものについては、おざなりになってしまうことが多いのです。
ぜひ社内管理規定を見直して頂けるといいかな、と思い。

リモートデスクトップ機能は便利ですけど、管理用PCのアカウントが漏洩するとWebサイトすべて改ざんできてしまいますからね。
そうはいっても、パスワードこまめに変えるのって考えるのが大変なんだよなぁと思いつつ、そんなときは「パスワード生成ジェネレータ」で検索!と情報提供しつつ、次回も引き続き組織編について実例をもとに説明していこうと思います。

ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、ついに福島競馬が開催となりましたね。関東から競馬開催がなくなると、あぁ夏だなぁと思う今日この頃です。
実際は梅雨明けもまだですけどね、競馬ファンは気分的には夏です。

それにしても最近の天気は難しいですね、梅雨といってもシトシト雨よりスコールやゲリラ豪雨といった急変が多いですし。
日曜日の中京競馬場なんて、CBC賞前の10レース目にえらい豪雨となって、馬場状態は良馬場発表でしたけど明らかに影響受けましたよ時計的にも馬券的にも。
さすがにあそこまでの豪雨による馬場急変は予想できまへん…。

ちなみに馬券はメラグラーナから豪雨に消えました。やはり重馬場は合わないっす。
鞍上の戸崎も日曜日は調子悪かったですが、あんな惨敗するとはなぁ。

もともと勝つか惨敗かの馬ではありますがね。
華々しい夏競馬の開催、今年もくじけず頑張ります、と前向きな発言から夏競馬これにて開催。致し方なし。






関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ