組織対策セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (2)組織編⑦

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.組織の中堅は大切にすべき、ですね

組織対応

はい!
「IT目線で企業改革」を標榜する中小企業診断士、今日もちゅりをバードウォッチング!天から舞い降りた小鳥ちゃん・森田昇です。はい、ちゅりです。年齢からも停滞しているのでは?そろそろ卒業か?と思われたここ数年ですが、見事に盛り返しましたね。

アイドルとして年齢やキャリア的にはベテランに差し掛かる中堅、という今後のキャリアをどう展開するのか難しい立ち位置にも関わらず、今まで以上に支持を集めたその姿勢。
ぜひ見習いたいところです。
どこか暑苦しい感じもするキャラクターも大好きですよ!また直訴しようぜ!オリジナル公演に飢えているのはファンも同じだー!

とまぁ言ってしまえば、中堅の逆襲といった趣もあった総選挙選抜下位争いでしたが、若手が伸び悩んでいるときに頼りになるのは、順調にキャリアを積んだ安心安全な中堅どころ、という面もあったのかなと。
これは企業組織にも言えることだと思いますが、今中堅と呼ばれる30代~40代の社員って色々な面で揉まれてきた超氷河期世代の貴重な人材なわけですよ。つい若手の育成やベテランの面倒で置き去りにされがちな自立し自律した中堅どころですけど、ぜひ大切にして頂きたいと思います。

ということで、BtoB業態の中小企業の経営者層を手助けしてくれる中堅社員が組織企業を盛り上げてくれるような、情報セキュリティ的人材育成の面にも役立つコンテンツを数多くご提供していこうと思います。
あ、情報セキュリティ的人材育成といえば、第13回目の組織編⑤でもお伝えしましたが、絶え間ない情報セキュリティの教育を実施すること!がやっぱり一番大事だと思うのです。

特に中堅社員には必須ですよ。若手より社会を知り、ベテランほど社会を諦めていない彼らにとっては、ちょうど組織企業への忠誠心がぐらつく時期でもありますからね。
彼らの職場環境や処遇の不満、早めに取り除いてあげましょう。

会社的には中堅社員を退職させたくないのだぞ、の意志をしっかり伝えてあげてくださいね。
そうでないと私みたいに何度も転職を繰り返してキャリアの迷子、なんてことに。そして鳥さん、中堅中堅って連呼してごめんなさい。大好きです。



2.今回のテーマは?

新連載第7回目のテーマは、ついに終わり、にならなかったよ「情報セキュリティ 10大脅威 2017 (2)組織編⑦」です。
シリーズものとして、今週で最後の予定でしたが…分量を読み間違えました「情報セキュリティ 10大脅威」からのネタ。
正直長くやり過ぎていると思っていますけどね、ネタ的にはこのくらいやらないと詳細な解説できないのですよ…と読者にも本原稿の依頼者にも言い訳をば。

次回はしっかり最終回にします。
それと、個人編はやらないのでご容赦くださいませ、とこの場を借りて宣言しておきます。

あ、第1回目からずっと同じ、資料のURLはここです。
<https://www.ipa.go.jp/files/000059212.pdf>
組織編

で、(2)組織編⑦として、ウェブサービスへの不正ログインについてお話できればと思います。
順位でいう第7位ですね。
次回は第9、10位とまとめて終わり、の予定です。本当ですよ。もう引き伸ばしません。

週刊連載でのマンガのように、中身がどんどん薄くなる引き伸ばしは決してやりませんと心に誓い。
無理矢理全7回に収めようとも考えましたけど、さすがに3つまとめて、は苦しかったので申し訳ないと平謝り。



脅威

3.「ウェブサービスへの不正ログイン」とは?


ウェブサービスへの不正ログインの多くが、パスワードリスト攻撃によって行われています。ウェブサービスの利用者がパスワードを使い回している場合、不正ログインが行われる恐れがあります。

ウェブサービスの提供者は、不正ログインされないように多要素認証等のセキュリティ機能をウェブサービスの利用者に提供する必要があります。
代表な手口としては、パスワードを推測して片っ端から入力して試すパスワード推測攻撃、別サービスから搾取したパスワードを使い回しているか判断するパスワードリスト攻撃などがあります。
攻撃がヒットすると、サービスに不正ログインされて個人情報の窃取やポイントの不正利用、インターネットバンキングが対象だと預金の振込などもやられる恐れがあります。

LINEやTwitterへの不正ログイン、その大半がパスワード推測攻撃ですね。

個人情報の流出に繋がり、被害者のはずのサイト運営者も個人情報を流出された個人から見れば加害者になりますからね、企業や組織の信用が失墜して場合によっては補償や賠償まで求められることとなり。
いやぁ、不正ログインを許してしまうサイトの状態ってホント怖いですねぇ。しっかり対策していきましょう。
もちろん、ウェブサービスを提供していない企業も、利用することはあるのですから対策を知っておくことが必要ですよ。

4.では、対策はどのように?


不正ログインを防ぐ=パスワードを複雑にすれば(させれば)OK、と思いがちですが、それだけでは足りません。
使い回しもいけません。
でも、それも大事なことですので、ここはいっちょうIPAのマンガポスターを載せてパスワードに関する注意喚起をば。

某大学では現役で学内掲示されていますポスターですしね。
あ、URLはココです。<http://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/>

私のお気に入りは、これ。

マンガ



えぇ、昔の彼女にまったく同じことを言われましたよ。銀行口座の4桁暗証番号を私の誕生日にしてくれたのです。
そう、絵とは男女逆状態。当時は嬉しかったなぁ、情報セキュリティなんて言葉がまだない時代でしたし。
もちろん、それを聞いた私も暗証番号を彼女の誕生日に…しませんでした。えふふ。

で、その数年後、彼女とはお別れしたのですけどね。
別れてしばらくした後に、いきなり電話で、「別れた男の誕生日を暗証番号で打ち込み続けるって、何この罰ゲームどうにかしてよ!」
と怒られました。

いやぁ理不尽大王、地団駄ラリアット懐かしい。
今はATMであっさり変更できますけど、当時はどうだったのかしら?彼女元気かなぁ?

閑話休題。
IPA曰く、


多要素認証

第14回目でお話した通り、現代のサーバやPCなどのWindowsシステムはセキュリティが強固となっています。
セキュリティ上の穴を一個一個丁寧に塞げば、ほぼ不正アクセスは防御できます。

しかし、IDなどのアカウントやパスワードといった、人の力で管理せざるをえないものについては、おざなりになってしまうことが多いのです。
不正ログインを防ぐにはシステム防御と同じくらい、人の防御が必要なのです。そのためにも多要素認証が必要となるのです。
はい、まとめると下記の3点になります。

1.簡単なパスワードは許可しない!させない!


2.ワンタイムパスワードや第2暗証番号を導入!


3.スマホでの電話番号認証もイイネ!


そう、ワンタイムパスワードや第二暗証番号といった多重認証や、LINEの登録時のようなスマホや電話番号も認証に利用するなどです。
このような多要素認証を導入しましょう、ということになります。
もちろん、サービスを提供する側だけでなく提供される側、ようは利用する側も、多要素認証を使うことを心掛けてください、ですよ。

特にインターネットバンキング系は気を付けて!と次回へのフリも仕込みつつ、次こそ絶対に連載終わらせるぞと決心しつつ、次回も引き続き組織編について実例をもとに説明していこうと思います。
ここまでお読み頂き、誠にありがとう御座いました。


5.終わりの雑談


それはそうと、東京競馬場の花火大会、盛り上がりましたね。
たった30分で終わりですが、その短い間に3,500発もの花火を打ち上げる短期集中決戦、例年通り盛り上がりました。

いやもうすっかり夏ですね。梅雨明けはまだでも花火大会があると、世間一般も夏気分ですよね?
で、暑さも本格化してきて、花火大会の場所取りも日なたはキツイのです。

が、東京競馬場の花火大会は、メモリアル60スタンド内でも前の方の席であれば問題なく花火を見られるので、ガラス越しを気にしなければエアコンが効いた中で観覧できるのです。
穴場ですね。毎年荒れる七夕賞の穴予想と同じように、何とか穴場はないかと探した甲斐がありましたよ。

ちなみに馬券はスズカデヴィアスからポツン最後方で天を仰ぎました。
が、シルク3頭出しで超ハイペースになってくれたので、ハマったか?と一瞬思ったのですけどねぇ。
やはり超高速馬場では外を回したら届きませんな。夏負けしていたとのことですし、サマー2000シリーズは無理しないで欲しいです。

そして、勝ち馬のゼーヴィントは作戦勝ちでもあり、自力が違ったでもあり。
サマー2000シリーズには参戦しなさそうですが、大きいところを狙えそうな馬ですので、こちらも無理せず、ですね。

夏の暑さに負けない夏競馬の熱さ、今年も色々な意味で倒れないように頑張ります。致し方なし。






関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威2

スマホセキュリティの脅威2

情報セキュリティ脅威について語るシリーズ第2弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

組織対策セキュリティの脅威1

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第5弾

組織対策セキュリティの脅威2

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第6弾

組織対策セキュリティの脅威3

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第7弾

組織対策セキュリティの脅威4

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第8弾

組織対策セキュリティの脅威5

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第9弾

組織対策セキュリティの脅威6

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第10弾

組織対策セキュリティの脅威7

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第11弾

組織対策セキュリティの脅威8

組織対策セキュリティ

情報セキュリティ脅威について語るシリーズ第12弾

BYODのセキュリティ

BYODセキュリティ

BYODのセキュリティについて

情報セキュリティ まとめ

セキュリティまとめ

情報セキュリティをまとめてみた

導入をお考えの方へ