いま、企業の個人情報・機密情報などを狙ったサイバー攻撃が年々増加しています。
情報や仕組みのIT化が進み、IoT活用なども普及しつつある昨今、サイバー犯罪に巻き込まれるリスクの増加は決して無視できるものではありません。
2020年の東京オリンピックを機に、サイバー攻撃の数がピークを迎えるといわれるいま、充分な備えができている企業もそう多くはないでしょう。
今回は、日本のサイバーセキュリティ強化の中核である「内閣サイバーセキュリティセンター(NISC)」の副センター長 山内氏にご協力いただいたインタビュー内容をもとに、企業がとるべきセキュリティ対策のポイントについてご紹介します。
※インタビュー内容の詳細はこちら
https://www.daikodenshi.jp/daiko-plus/production-control/nisc-interview-201910/
ページコンテンツ
ポイント①:パスワード・認証を正しく強化する
パスワードや認証の強化・管理は、企業におけるサイバーセキュリティの基本です。
従来、「システムに登録しているパスワードを定期的に変更することでセキュリティが強化される」というのが通説でした。
しかし、2018年に総務省とNISCが「定期的なパスワード変更は不要」という見解を示したとの報道があったことで、現在では「パスワード変更は無意味だ」と捉えているかたも多いのではないでしょうか。
山内氏によると、ここでNISCが本来伝えたかったのは「パスワードは正しく管理されていれば定期的に変更する必要はなく、むしろ「定期的に変更を強いられることで、パスワードが単純でパターン化されてしまうことの⽅が危険だ」ということです。
たとえば、下記5つのポイントに注意してパスワードを強化・管理することが大切です。
1. パスワードは「英⼤⽂字⼩⽂字+数字+記号」で10桁以上にする
「Password」などのような、簡単に推測されるパスワードは避けましょう。
2. 暗号化せずにパスワードをメモしない
パスワードを忘れないように、スマホ・PCのメモに残しておくのも危険です。外出先でのデバイス紛失や、サイバー攻撃によって盗まれる可能性があります。
パスワード管理ツールを使用するか、ノートに書く場合は鍵の閉まる引き出しに⼊れて保管しましょう。
3. パスワードを複数システムで使いまわさない
同一のパスワードを、複数のシステムで使い回すのも危険です。
どれか1つのシステムからパスワードが漏えいすると、他のシステムも危険に晒されます。(このような「パスワードリスト攻撃」は近年増加しています。)
面倒であっても、システムごとに必ず異なるパスワードを設定するよう従業員に周知・徹底しましょう。
4. 多要素認証を取り入れる
通常のパスワードのみでなく、「知識情報」「所持情報」「⽣体情報」のうち、
2つ以上を組み合わせた「多要素認証」を取り入れることでセキュリティレベルが向上します。
5.問題が発生した/発生しそうなときは、すぐにパスワードを変更する
パスワードが漏えいしたことが発覚した場合、もしくはその疑いがある場合には、すぐさま組織全体のパスワード変更をおこないましょう。
ポイント②:最新の「脆弱性情報」を入手する体制を作る
次に、自組織が使用している機器・ソフトウェアや、適用されているセキュリティパッチのバージョンを把握しておき、常に最新のバージョンにアップデートして脆弱性を埋めておくことも重要です。
2017年、世界各地で猛威を振るったランサムウェア「WannaCry」も、攻撃が⾏われる数か⽉前には報告されていた脆弱性を突いた攻撃でした。つまり、WannaCryはセキュリティパッチがしっかり適用されていれば被害に遭うこともなく防げた攻撃なのです。
この事例からわかるように、企業のセキュリティ対策では、自組織で使用している機器・ソフトウェアを管理して脆弱性に対処できる体制作りが欠かせません。
資産管理ツールを活⽤し、ネットワークにつながっている機器には何があるのか、そこにインストールされているソフトウェアや、適⽤されているセキュリティパッチのバージョンまで、常に最新の情報を把握できる環境にしてください。
ポイント③:最大のセキュリティホール「人」に対策を講じる
「便利さ」を求めて、会社PCに社員が自由にフリーソフトウェアをインストールしていたり、日々大量に届くSPAMメールを誤って開いてしまう危険性があったり…ちょっとしたきっかけでマルウェア感染・個人情報流出などが発生する危険性があります。
近年は、企業を狙った標的型攻撃も増加しており、従業員のセキュリティ意識向上と正しい対策知識の周知・徹底は重要な課題です。
“やはり情報システム部⾨の⽅々から従業員の皆さんへ繰り返し注意喚起を⾏うことが効果的です。何か気になったら、すぐに情報システム部⾨へ連絡する。これが徹底されるだけでも、セキュリティレベルは向上します。”
と、山内氏は語ります。
しかし、情報セキュリティ担当者にとって研修用の資料作成は負担となるかと思います。
そこでNISCではWebサイトで「情報セキュリティハンドブック」をPDFで公開しています。
著作権はNISCが留保しますが、印刷して配布したりページ単位・イラスト単位での利用が可能です。
ポイント④:万が一のときに備え、対応方法を決める
「もしも何か起きてしまったら」に備えて、事前に対策を決めておくことも大切だと山内氏は語ります。
“セキュリティ対策にそこまで予算をかけられない場合には、システムを導⼊したSIerに相談し、万が⼀の場合はどのように対応したらいいか、アドバイスを受けておくことも有効だと思います。SIerやセキュリティツールのメーカー、そしてセキュリティ関係機関とすぐに連絡が取れる関係を築いておくことは、いざというときに役⽴ちます。”
また、警察にもサイバー犯罪対策課が設置されているので、万が一の事態の際には連絡を入れることで事後の対応についてアドバイスを受けることが可能です。
2020年に向けたセキュリティ対策を
2020年の東京オリンピック・パラリンピックのような、大きなイベントや災害があると、その注目に便乗したサイバー攻撃が増加します。
特に、経営層には「セキュリティ対策=コスト」と捉えられがちな風潮がありますが、情報漏えいによって受ける経済的損失・信用の損失などを考えると、セキュリティの強化は欠かせない投資です。
万が一のマルウェア感染に備えて、「マルウェアに感染してもコンピュータの中枢機関をプロテクトし、情報漏えいやシステムの改竄を防ぐセキュリティ対策製品もこちらでご紹介しております。
よろしければぜひ、ご参考にご覧くださいませ。
マルウェアが動いても「感染させない」。
不正な動作をすべてシャットアウトする新型セキュリティ「AppGuard」については、下記よりご覧いただけます。
