2024/05/14
全社的サイバーセキュリティ対策のすすめ
株式会社M&K
株式会社M&Kは、サイバーセキュリティに関する総合対策企業として、各種コンサルティング、リスクアセスメント、セキュリティ診断、運用支援などのサービスを提供している。小規模ながら、従業員全員がコンサルタント、エンジニアとして活動しており、セキュリティ対策における顧客企業の負荷軽減、効果の最大化を支援する。「その不安を安心に」というテーマを掲げ、実現可能、かつ継続可能なセキュリティ対策をモットーに、年間500サイト、のべ5,000社の取引実績を有する。
前回までで、基本的な考え方や脅威・リスクの違いなどをご説明してきました。4回目となる今回は、ケーススタディとして、具体的な脅威や、そこに潜在するリスクがどのようなものであるのか解説します。
まずは、例として以下のような組織があることを想定してお話し致します。
この組織は、インターネット経由で利用できるさまざまなサービスを利用しており、リモートワークでの業務も許可しています。
また、社内にもサーバーがあり重要な情報はそこで管理されており、それらの保守等については、いくつかのベンダーがリモートで対応しています。
このような環境を前提とした場合に想定される脅威・リスクについて考えていきたいと思いますが、今回はインターネット接続やVPN接続など、ネットワーク関連について考察していきます。
インターネットの発展は、私たちの生活にさまざまな利便性をもたらしましたが、一方では新たな脅威やリスクの発生源ともなっており、日々さまざまな被害が報告されているのは、皆様もご存じの通りです。
このケースの場合、例えば以下のような脅威が想定されます。
メールのやり取りに起因する被害は、年々増加傾向にあり、昨今よく耳にするランサムウェア等のマルウェア感染の入り口も標的型メール攻撃であるケースが増えています。
前回の最後にお伝えしましたIPAから発表されている「セキュリティ10大脅威」の上位にもランキングされていますので、特に注意が必要です。
また、メール誤送信やビジネスメール詐欺に騙されてしまうなど、人為的な要因によって引き起こされる被害も多いポイントですので、特に事務系の業務に従事されている方などに対するセキュリティ教育を徹底することも重要です。
現在、クラウドサービスはさまざまなものが存在しており、設備投資が不要でインターネット経由経由で手軽に利用できることからも、多くの企業・組織で利用されています。
しかしながら、クラウド基盤そのものに潜在する脆弱性や、それらに対する提供事業者側の管理体制などが不完全なものも存在します。
また、利用者側の責任範囲となる部分が多いもの、例えばIaaSを利用する際には、管理設定のミスなどや、アカウントの管理などに留意することも重要です。
例えば、クラウド上のストレージの設定が誰でも閲覧できるようになっていたことで、情報が漏えいした、アカウントを不正利用されたなど、利用者の設定ミスや管理不備による事故が急増しています。
なお、事後対策として、有事の際に確認が取れるように各種ログを保管しておくことなども有効です。
機器故障や自然災害等の物理的な脅威によって引き起こされる重要データの喪失なども、企業にとっては大きなリスクとなりますので、クラウド利用時においても、バックアップやBCP計画などを立案し、平時から備えておくようにしてください。
企業のホームページやECサイトなど、常に公開されているものは、インターネット経由で誰でも閲覧できます。
これは、悪意のある第三者にとっても同様であり、攻撃者は侵入できそうなWEBサイトを常に探しています。
特に「SQLインジェクション」や「クロスサイトスクリプティング」などの以前から認知されている代表的な脆弱性が放置されているようなサイトは非常に危険です。
これまで報告されているWEBサイト経由のセキュリティ事故に関しては、WEBアプリケーションやシステムプラットフォームの基本的な脆弱性対策さえできていれば、被害の85%は未然に防ぐことができたという報告事例もあります。
また、WEBサイトに関しては、不正な改ざんにより踏み台攻撃に利用されるリスクもあります。
踏み台攻撃というのは、自社のサイトを経由され、他社への攻撃を仕掛けられるものですが、そのような改ざんをされると、意識しないままに加害者(攻撃者)になっていたという事態に陥ってしまいます。
WEBサイトに関しては、公開前の脆弱性診断の実施、また公開後であっても定期的な脆弱性診断を実施するなど、「評価」と「強化」を継続していく運用が重要です。
コロナ渦以降、多くの企業でリモートワークが定着し、現在も継続している組織も多く存在します。
効率的に業務が進められるようになり、その恩恵を受けている方も多くいらっしゃるかと思いますが、そのようなリモートワーク環境を狙った新たな被害も急増しています。
技術的な脅威としては、社内へ接続するためのネットワークの脆弱性等を狙った侵入などが挙げられます。
VPN接続する際のアカウントの流出や、マルウェア感染していた私物のPC利用などによって、社内のネットワークに侵入されるような被害です。
業務用のPCや、業務に必要なデータの持ち出しの際、端末やUSBメモリ等の外部記憶媒体の紛失や破損、それによる情報漏えいやデータ喪失などの人為的な要因による被害も増えています。
また、リモートワークを実現するために、セキュリティポリシーを緩和せざるを得ないような場合、不正な情報持ち出しなど内部の人間による犯行などにも留意が必要です。
組織が認めたデバイスからのみアクセスを許可する仕組み、私物PCやUSBメモリの利用制限、事後対策としてのログの管理などを徹底してください。
このように、インターネットを経由した脅威・リスクだけでも考えることは多々あります。
ここでは、代表的なものを書き出しましたが、細かいものまで含めると、まだまだいくつもの脅威があります。
脅威の種類についても、前回お伝えした通りですが、技術的脅威、人的脅威、物理的脅威のそれぞれが含まれています。
インターネットに接続されているということは、常になんらかの脅威にさらされているという意識を持つこと、それを組織全体に浸透させることが重要です。
全社的サイバーセキュリティ対策のすすめの他の記事
おすすめ記事
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方