情報セキュリティ10大脅威 2018(その3)
クローバーフィールドの杉山です。
情報キュリティ10大脅威 2018のその3です。
今回は組織編の10位から6位までを見ていきます。
と言う訳で、10位は「犯罪のビジネス化(アンダーグラウンドサービス)」です。
今年に入ってコインチェックから仮想通貨が盗まれた事件がありましたが、さらにイタリアのビットグレイルでも仮想通貨を盗まれる事件があったようです。
仮想通貨の存在云々はわきに置いて、どちらも被害が数百億と巨額ですので、実行犯としてはかなりの実入りでしょう。
クラッキングするためのプログラムは、天才的なプログラマがゴリゴリ作っているイメージですが、実のところアンダーグラウンドな世界ではソースが公開されていたりします。
その気があれば入手して自分も立派な犯罪者の仲間入りができたりします。
個人編でも書きましたが中学生でも入手できるものもあります。
古典的なデータを盗んで売る、データを暗号化して脅迫するなど様々な金銭目的の犯罪が今後も起こることは間違い無いです。
お隣のややこしい国は専門の部隊がいるそうなので、国家レベルの犯罪集団が隙を狙っていると考えたほうが良いでしょう。
そして、9位は「サービス妨害攻撃によるサービスの停止」でございます。
2年連続4位だったのですが、今回は9位です。
ただ、ランク外から上位に3つの脅威がランクインしたためで、ランクが下がっただけのようです。
全体の脅威が増していると考えて良いでしょう。
様々な企業がインターネツト状にサイトを構築してサービスを提供していますが、特に脅威にさらされる危険が高いと考えるのは、公共、インフラ、金融などです。
サイバー攻撃で社会基盤へダメージを与えることを目的にとした国家的組織犯罪であったり、ビジネスの妨害を狙った犯罪があります。
対策としては、サーバにDos、DDos攻撃を分析して通信をフィルタするネットワーク機器を利用するなどがあります。
また、不正な侵入を検知、防止するなどの機器、アプリケーションの導入などでサイトを改ざんされることを防止するなどの対策が必要になります。このあたりの対策は、サービスをネットワークに公開するにあたって全般的に必要な対策と考えます。
また、逆に攻撃側に回らないように自社で公開しているサーバのセキュリティ対策や通信状態の監視が必要になります。
スマートフォンなどのアプリに攻撃用のプログラムが仕込まれている場合もあるようですので、出所の不確かなアプリを利用しないように気をつけることが大事になると考えます。
IoT機器も攻撃に参加するようになると考えられますので、所有している機器についてはファームウェアを常に最新の状態にしておくようにしましょう。個人、組織すべてにおいて言えることだと思います。
続いて、8位「内部不正による情報漏えい」です。
外部からの攻撃に対して防御を高めても社員やアルバイト、派遣社員など内部の情報にアクセスすることが可能な人たちが犯行に及ぶとひとたまりもありせん。
悪気が無くても自宅で仕事の続きをしようとして外部記憶媒体に保管して持ち出し、紛失する場合もあります。
また、元従業員が不正に侵入するケースもあります。
防止策として、アクセス権限の詳細な付与やパスワードの管理、機器や外部記憶媒体の接続についての監視などシステムの管理・運用を行う。また不正に対するけん制と追跡調査のため、アクセスログなどの監査証跡の収集と保管、監視カメラや建物などの侵入を検知するシステムの導入があります。
セキュリティゾーンの設定や情報のキュリティの重要度についての管理なども決めて運用する必要があります。
そして、セキュリティに対する教育を実施すること。
軽い気持ちでデータを持ち出しをすると大きなトラブルの原因となり、犯罪者となってしまうことをはっきりさせておくことが重要であると考えます。
また、モラルの低い人は一定数混ざっていると考えて、就業規則やセキュリティ規則などの規約の整備を実施し、問題が発生した場合に法に訴えることが可能な状態にしておくことも大事です。
IPAの「組織における内部不正防止ガイドライン」などを参考にされると良いと思います。
そしてできる限り私物で仕事をさせないことです。
最後に最も大事なのは従業員とのコミュニケーションだと考えます。
持ち帰らなとと終わらない量の仕事を抱えて、致し方なく自宅でも仕事をせざるを得ない状況に追い込まれていないか。そのような状態で会社対して不満を持っていないか。
ギャンブルや飲食などで散財しているかまで把握するのは難しいですし、あえて公言している人もいないと思います。プライベートに必要以上に関与すると別の問題もあるので難しいところですが、良好な人間関係を築く努力をしておくことが大事だと思います。
次は、7位「IoT 機器の脆弱性の顕在化」です。
個人編9位の「サービス妨害攻撃によるサービスの停止」でも記述しましたが、色々なものがネットワークに接続されて情報のやり取りが可能になっています。
当然想定している相手と通信するのですが、外部とのアクセスが可能であり、ハードウェア、ソフトウェアが存在すれば欠陥を狙われて不正にアクセスされたり、何かを仕込まれたりする可能性が発生します。
それが利用者の情報を収集する目的であったり、他への攻撃や侵入のの踏み台であったり様々な用途で悪用されると考えることは容易です。
対策は、常に最新の状態に保つことと、そして不要な機器はネットワークに接続しないこと。
勿論、初期パスワードのまま運用せず、セキュリティ機能を適切なレベルに設定することは必須です。
今回のラストは6位の「ウェブサービスからの個人情報の窃取」です。
企業がインターネット上でサービスを提供しようとすると、どうしてもユーザの認証などで企業、個人を問わずユーザの情報にアクセス可能にせざるを得ません。
当然、ファイアウォールなどの不正な侵入を検知、防止するための機器、システムの構築が必要です。
システムやデータのセキュリティ権限の適切な管理、運用を行う必要があります。
大きな情報漏えい事件の中には、個人情報を含むファイルを公開しているサーバ上にうっかり放置していたなどという、ずさんな運用もあります。
そして、システム自体をセキュアに技術で構築することが大事になります。
これは、開発に従事する技術者がどれくらいセキュリティを意識した設計、開発を行えるかが鍵になります。
システムを開発する際、サービス公開ありきや必要以上の予算の削減などでセキュリティなどを置き去りにしないようにシステムを企画する側が意識をしておくことが必要になります。
また、技術者にセキュアな設計、製造ができるように教育、学習の機会を提供することが大事だと考えます。
当然のことなからシステムを構築するにあたり様々なミドルウェアなどを利用すると考えますので、脆弱性の情報収集と対策を随時行って運用する必要がありますので運用設計も大事になってきます。
さらに監査証跡内容の吟味をしておき、不正なアクセスが発生した場合に調査が可能であるかも設計、製造段階で確認しておくことも重要です。
最後に情報が盗まれた場合の対応についても、十分に検討しマニュアル化して周知することが大事です。
問題が発生した場合も想定してシステムは開発するようにしましょう。
当然、ここまでシステム開発の予算に入れてください。
次回は、組織編のベスト5になります。